Intel Agilex 7 Device Security

Impormasyon sa Produkto

Mga detalye

• Numero sa Modelo: UG-20335
• Petsa sa pagpagawas: 2023.05.23

Mga Instruksyon sa Paggamit sa Produkto

1. Pasalig sa Product Security

Gipasalig sa Intel ang seguridad sa produkto ug girekomenda ang mga tiggamit nga pamilyar ang ilang kaugalingon sa mga kapanguhaan sa seguridad sa produkto nga gihatag. Kini nga mga kapanguhaan kinahanglan nga gamiton sa tibuok kinabuhi sa produkto sa Intel.

2. Giplano nga Mga Feature sa Seguridad

Ang mosunod nga mga bahin sa seguridad giplano alang sa umaabot nga pagpagawas sa Intel Quartus Prime Pro Edition software:

• Partial Reconfiguration Bitstream Security Verification: Naghatag ug dugang nga kasiguruhan nga ang Partial Reconfiguration (PR) bitstreams dili maka-access o makabalda sa ubang PR persona bitstreams.
• Pagpatay sa Kaugalingon sa Device alang sa Pisikal nga Anti-Tamper: Naghimo og pagpahid sa device o pagtubag sa device zeroization ug mga programa sa eFuses aron mapugngan ang device gikan sa pag-configure pag-usab.

3. Anaa nga Security Documentation

Ang mosunud nga talaan naglista sa magamit nga dokumentasyon alang sa mga bahin sa seguridad sa aparato sa Intel FPGA ug Structured ASIC nga mga aparato:

Ngalan sa Dokumento	Katuyoan
Pamaagi sa Seguridad alang sa Intel FPGAs ug Structured ASICs User Giya	Top-level nga dokumento nga naghatag ug detalyado nga mga deskripsyon sa mga bahin sa seguridad ug teknolohiya sa Intel Programmable Solutions Mga produkto. Nagtabang sa mga tiggamit sa pagpili sa gikinahanglan nga mga bahin sa seguridad sa makab-ot ang ilang mga katuyoan sa seguridad.
Giya sa Gumagamit sa Intel Stratix 10 Device Security	Mga panudlo alang sa mga tiggamit sa Intel Stratix 10 nga mga aparato nga ipatuman ang mga bahin sa seguridad nga giila gamit ang Security Methodology Giya sa Gumagamit.
Giya sa Gumagamit sa Intel Agilex 7 Device Security	Mga panudlo alang sa mga tiggamit sa Intel Agilex 7 nga mga aparato nga ipatuman ang mga bahin sa seguridad nga giila gamit ang Security Methodology Giya sa Gumagamit.
Intel eASIC N5X Device Security Giya sa Gumagamit	Mga panudlo alang sa mga tiggamit sa Intel eASIC N5X nga mga aparato nga ipatuman ang mga bahin sa seguridad nga giila gamit ang Security Methodology Giya sa Gumagamit.
Intel Agilex 7 ug Intel eASIC N5X HPS Cryptographic Services Giya sa Gumagamit	Impormasyon alang sa HPS software engineers sa pagpatuman ug paggamit sa HPS software library aron maka-access sa mga serbisyo sa cryptographic gihatag sa SDM.
AN-968 Black Key Provisioning Service Quick Start Guide	Kompleto nga hugpong sa mga lakang aron ma-set up ang Black Key Provisioning serbisyo.

Kanunay nga Gipangutana nga mga Pangutana

P: Unsa ang katuyoan sa Giya sa Gumagamit sa Pamaagi sa Seguridad?

A: Ang Giya sa Gumagamit sa Pamaagi sa Seguridad naghatag ug detalyadong paghubit sa mga bahin sa seguridad ug mga teknolohiya sa mga Produkto sa Intel Programmable Solutions. Nagtabang kini sa mga tiggamit sa pagpili sa gikinahanglan nga mga bahin sa seguridad aron makab-ot ang ilang mga katuyoan sa seguridad.

P: Asa nako makit-an ang Intel Agilex 7 Device Security User Guide?

A: Ang Intel Agilex 7 Device Security User Guide makita sa Intel Resource and Design Center website.

Q: Unsa ang serbisyo sa Black Key Provisioning?

A: Ang serbisyo sa Black Key Provisioning usa ka serbisyo nga naghatag ug kompleto nga set sa mga lakang aron ma-set up ang yawe nga provisioning para sa luwas nga operasyon.

Giya sa Gumagamit sa Intel Agilex® 7 Device Security
Gi-update alang sa Intel® Quartus® Prime Design Suite: 23.1

Online nga Bersyon Ipadala ang Feedback

UG-20335

683823 2023.05.23

Intel Agilex® 7 Device Security User Guide 2

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 3

683823 | 2023.05.23 Magpadala ug Feedback
1. Intel Agilex® 7

Nahuman ang Seguridad sa Deviceview

Gidisenyo sa Intel® ang Intel Agilex® 7 nga mga aparato nga adunay dedikado, ma-configure nga hardware ug firmware sa seguridad.
Kini nga dokumento adunay mga panudlo aron matabangan ka sa paggamit sa software sa Intel Quartus® Prime Pro Edition aron ipatuman ang mga bahin sa seguridad sa imong mga aparato nga Intel Agilex 7.
Dugang pa, ang Security Methodology para sa Intel FPGAs ug Structured ASICs User Guide anaa sa Intel Resource & Design Center. Kini nga dokumento adunay mga detalyado nga paghubit sa mga bahin sa seguridad ug mga teknolohiya nga magamit pinaagi sa mga produkto sa Intel Programmable Solutions aron matabangan ka sa pagpili sa mga bahin sa seguridad nga gikinahanglan aron makab-ot ang imong mga katuyoan sa seguridad. Kontaka ang Intel Support nga adunay reference number 14014613136 aron ma-access ang Security Methodology para sa Intel FPGAs ug Structured ASICs User Guide.
Ang dokumento giorganisar ingon sa mosunod: · Pagpamatuod ug Awtorisasyon: Naghatag ug mga instruksyon sa paghimo
mga yawe sa pag-authenticate ug mga kadena sa pirma, paggamit sa mga pagtugot ug pagbawi, pagpirma sa mga butang, ug mga bahin sa pag-authenticate sa programa sa mga aparato nga Intel Agilex 7. · AES Bitstream Encryption: Naghatag ug instruksyon sa paghimo og AES root key, pag-encrypt sa configuration bitstreams, ug paghatag sa AES root key sa Intel Agilex 7 nga mga device. · Device Provisioning: Naghatag ug mga instruksyon sa paggamit sa Intel Quartus Prime Programmer ug Secure Device Manager (SDM) provision firmware sa programa sa security features sa Intel Agilex 7 device. · Advanced Features: Naghatag og mga instruksyon aron mahimo ang mga advanced nga feature sa seguridad, lakip ang luwas nga pagtugot sa debug, Hard Processor System (HPS) debug, ug remote system update.
1.1. Pasalig sa Product Security
Ang malungtaron nga pasalig sa Intel sa seguridad dili gyud mas lig-on. Ang Intel kusganong nagrekomendar nga pamilyar ka sa among mga kahinguhaan sa seguridad sa produkto ug magplano nga gamiton kini sa tibuok kinabuhi sa imong produkto sa Intel.
May Kalabutan nga Impormasyon · Product Security sa Intel · Intel Product Security Center Advisories

Intel Corporation. Tanang katungod gigahin. Ang Intel, ang logo sa Intel, ug uban pang mga marka sa Intel mao ang mga marka sa pamatigayon sa Intel Corporation o mga subsidiary niini. Gigarantiya sa Intel ang paghimo sa iyang mga produkto nga FPGA ug semiconductor sa kasamtangang mga espesipikasyon subay sa standard warranty sa Intel, apan adunay katungod sa paghimog mga pagbag-o sa bisan unsang produkto ug serbisyo bisan unsang orasa nga wala’y pahibalo. Ang Intel walay responsibilidad o tulubagon nga naggikan sa aplikasyon o paggamit sa bisan unsang impormasyon, produkto, o serbisyo nga gihulagway dinhi gawas sa dayag nga giuyonan sa pagsulat sa Intel. Gitambagan ang mga kostumer sa Intel nga makuha ang pinakabag-o nga bersyon sa mga detalye sa aparato sa dili pa magsalig sa bisan unsang gipatik nga kasayuran ug sa dili pa magbutang mga order alang sa mga produkto o serbisyo. *Ang ubang mga ngalan ug mga tatak mahimong maangkon nga gipanag-iya sa uban.

ISO 9001:2015 Rehistrado

1. Intel Agilex® 7 Device Security Overview 683823 | 2023.05.23

1.2. Giplano nga Mga Feature sa Seguridad

Ang mga bahin nga gihisgutan niini nga seksyon giplano alang sa umaabot nga pagpagawas sa Intel Quartus Prime Pro Edition software.

Mubo nga sulat:

Ang impormasyon sa niini nga seksyon mao ang preliminary.

1.2.1. Partial Reconfiguration Bitstream Security Verification
Ang partial reconfiguration (PR) bitstream security validation makatabang sa paghatag og dugang nga kasiguruhan nga ang PR persona bitstreams dili maka-access o makabalda sa ubang PR persona bitstreams.

1.2.2. Pagpatay sa Kaugalingon sa Device alang sa Pisikal nga Anti-Tamper
Ang self-kill sa device mohimo ug device nga pagpahid o device zeroization response ug dugang nga programa sa eFuses aron mapugngan ang device gikan sa pag-configure pag-usab.

1.3. Anaa nga Security Documentation

Ang mosunud nga talaan naglista sa magamit nga dokumentasyon alang sa mga bahin sa seguridad sa aparato sa Intel FPGA ug Structured ASIC nga mga aparato:

Talaan 1.

Anaa nga Device Security Documentation

Ngalan sa Dokumento
Pamaagi sa Seguridad para sa Intel FPGAs ug Structured ASICs User Guide

Katuyoan
Top-level nga dokumento nga adunay mga detalyado nga paghulagway sa mga bahin sa seguridad ug mga teknolohiya sa Intel Programmable Solutions Products. Gituyo aron matabangan ka sa pagpili sa mga bahin sa seguridad nga gikinahanglan aron makab-ot ang imong mga katuyoan sa seguridad.

Dokumento ID 721596

Giya sa Gumagamit sa Intel Stratix 10 Device Security
Giya sa Gumagamit sa Intel Agilex 7 Device Security

Para sa mga tiggamit sa Intel Stratix 10 nga mga himan, kini nga giya adunay mga instruksyon sa paggamit sa Intel Quartus Prime Pro Edition software aron ipatuman ang mga bahin sa seguridad nga giila gamit ang Security Methodology User Guide.
Para sa mga tiggamit sa Intel Agilex 7 nga mga himan, kini nga giya adunay mga instruksyon sa paggamit sa Intel Quartus Prime Pro Edition software aron ipatuman ang mga bahin sa seguridad nga giila gamit ang Security Methodology User Guide.

683642 683823

Intel eASIC N5X Device Security Giya sa Gumagamit

Para sa mga tiggamit sa Intel eASIC N5X nga mga himan, kini nga giya adunay mga instruksyon sa paggamit sa Intel Quartus Prime Pro Edition software aron ipatuman ang mga bahin sa seguridad nga giila gamit ang Security Methodology User Guide.

626836

Intel Agilex 7 ug Intel eASIC N5X HPS Cryptographic Services Giya sa Gumagamit

Kini nga giya adunay impormasyon aron matabangan ang mga inhenyero sa software sa HPS sa pagpatuman ug paggamit sa mga librarya sa software sa HPS aron ma-access ang mga serbisyo sa cryptographic nga gihatag sa SDM.

713026

AN-968 Black Key Provisioning Service Quick Start Guide

Kini nga giya adunay kompleto nga hugpong sa mga lakang aron ma-set up ang serbisyo sa Black Key Provisioning.

739071

Lokasyon Intel Resource ug
Sentro sa Disenyo
Intel.com
Intel.com
Intel Resource ug Design Center
Intel Resource ug Design Center
Intel Resource ug Design Center

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 5

683823 | 2023.05.23 Magpadala ug Feedback

Authentication ug Authorization

Aron mahimo ang mga bahin sa pag-authenticate sa usa ka aparato nga Intel Agilex 7, magsugod ka pinaagi sa paggamit sa software sa Intel Quartus Prime Pro Edition ug kauban nga mga himan aron makahimo usa ka kadena sa pirma. Usa ka kadena sa pirma naglangkob sa usa ka ugat nga yawe, usa o daghang mga yawe sa pagpirma, ug magamit nga mga pagtugot. Imong gipadapat ang signature chain sa imong Intel Quartus Prime Pro Edition nga proyekto ug gihugpong nga programming files. Gamita ang mga instruksyon sa Device Provisioning aron maprograma ang imong root key ngadto sa Intel Agilex 7 device.
May Kalabutan nga Impormasyon
Pagtagana sa Device sa panid 25

2.1. Paghimo og Signature Chain
Mahimo nimong gamiton ang quartus_sign tool o ang agilex_sign.py nga pagpatuman sa reference aron mahimo ang signature chain operations. Kini nga dokumento naghatag examples gamit ang quartus_sign.
Aron magamit ang pagpatuman sa reperensiya, ilisan nimo ang usa ka tawag sa tighubad sa Python nga gilakip sa software sa Intel Quartus Prime ug laktawan ang –family=agilex nga kapilian; ang tanan nga uban nga mga kapilian katumbas. Kay example, ang quartus_sign nga sugo nga makita sa ulahi niini nga seksyon
quartus_sign –family=agilex –operation=make_root root_public.pem root.qky mahimong makombertir ngadto sa katumbas nga tawag sa reference nga pagpatuman sama sa mosunod
pgm_py agilex_sign.py –operation=make_root root_public.pem root.qky

Ang software sa Intel Quartus Prime Pro Edition naglakip sa quartus_sign, pgm_py, ug agilex_sign.py nga mga himan. Mahimo nimong gamiton ang Nios® II command shell tool, nga awtomatiko nga nagtakda sa angay nga mga variable sa palibot aron ma-access ang mga himan.

Sunda kini nga mga instruksyon sa pagdala sa usa ka Nios II command shell. 1. Pagdala ug Nios II command shell.

Opsyon nga Windows
Linux

Deskripsyon
Sa Start menu, itudlo ang Programs Intel FPGA Nios II EDS ug i-klik ang Nios II Command Shell.
Sa usa ka command shell usba sa /nios2eds ug padagana ang mosunod nga sugo:
./nios2_command_shell.sh

Ang exampAng mga les niini nga seksyon nag-angkon sa signature chain ug configuration bitstream files anaa sa kasamtangan nga working directory. Kung gipili nimo nga sundon ang examples asa yawe files gitipigan sa file sistema, mga examples assume ang yawe filemga s

Intel Corporation. Tanang katungod gigahin. Ang Intel, ang logo sa Intel, ug uban pang mga marka sa Intel mao ang mga marka sa pamatigayon sa Intel Corporation o mga subsidiary niini. Gigarantiya sa Intel ang paghimo sa iyang mga produkto nga FPGA ug semiconductor sa kasamtangang mga espesipikasyon subay sa standard warranty sa Intel, apan adunay katungod sa paghimog mga pagbag-o sa bisan unsang produkto ug serbisyo bisan unsang orasa nga wala’y pahibalo. Ang Intel walay responsibilidad o tulubagon nga naggikan sa aplikasyon o paggamit sa bisan unsang impormasyon, produkto, o serbisyo nga gihulagway dinhi gawas sa dayag nga giuyonan sa pagsulat sa Intel. Gitambagan ang mga kostumer sa Intel nga makuha ang pinakabag-o nga bersyon sa mga detalye sa aparato sa dili pa magsalig sa bisan unsang gipatik nga kasayuran ug sa dili pa magbutang mga order alang sa mga produkto o serbisyo. *Ang ubang mga ngalan ug mga tatak mahimong maangkon nga gipanag-iya sa uban.

ISO 9001:2015 Rehistrado

2. Authentication ug Authorization 683823 | 2023.05.23
nahimutang sa kasamtangan nga direktoryo sa pagtrabaho. Mahimo nimong pilion kung unsang mga direktoryo ang gamiton, ug ang mga himan nagsuporta sa paryente file mga agianan. Kung gipili nimo nga tipigan ang yawe files sa file sistema, kinahanglan nimo nga mainampingon nga pagdumala ang mga pagtugot sa pag-access sa mga files.
Girekomenda sa Intel nga magamit sa komersyo ang Hardware Security Module (HSM) sa pagtipig sa mga yawe sa cryptographic ug paghimo sa mga operasyon sa cryptographic. Ang quartus_sign tool ug reference nga pagpatuman naglakip sa Public Key Cryptography Standard #11 (PKCS #11) Application Programming Interface (API) aron makig-interact sa usa ka HSM samtang nagpahigayon og signature chain operations. Ang agilex_sign.py reference nga pagpatuman naglakip sa usa ka interface abstract ingon man sa usa ka exampang interface sa SoftHSM.
Mahimo nimong gamiton kini nga mga example mga interface aron ipatuman ang usa ka interface sa imong HSM. Tan-awa ang dokumentasyon gikan sa imong HSM vendor para sa dugang nga impormasyon bahin sa pag-implementar og interface ug pagpadagan sa imong HSM.
Ang SoftHSM usa ka software nga pagpatuman sa usa ka generic nga cryptographic device nga adunay PKCS #11 interface nga magamit sa proyekto sa OpenDNSSEC®. Mahimo nimong makit-an ang dugang nga kasayuran, lakip ang mga panudlo kung giunsa ang pag-download, paghimo, ug pag-install sa OpenHSM, sa proyekto sa OpenDNSSEC. Ang exampAng mga les niini nga seksyon naggamit sa SoftHSM nga bersyon 2.6.1. Ang examples sa niini nga seksyon sa dugang nga paggamit sa pkcs11-tool utility gikan sa OpenSC sa pagbuhat sa dugang nga PKCS #11 operasyon uban sa usa ka SoftHSM token. Mahimo nimong makit-an ang dugang nga kasayuran, lakip ang mga panudlo kung giunsa ang pag-download, paghimo, ug pag-install sa pkcs11tool gikan sa OpenSC.
May Kalabutan nga Impormasyon
· Ang proyekto sa OpenDNSSEC Policy-based zone signer para sa pag-automate sa proseso sa DNSSEC keys tracking.
· SoftHSM Impormasyon bahin sa pagpatuman sa usa ka cryptographic store nga ma-access pinaagi sa PKCS #11 interface.
· OpenSC Naghatag set sa mga librarya ug mga utilities nga makahimo sa pagtrabaho uban sa mga smart card.
2.1.1. Paghimo sa Authentication Key Pares sa Lokal File Sistema
Gigamit nimo ang tool sa quartus_sign aron makahimo mga pares nga yawe sa panghimatuud sa lokal file sistema gamit ang make_private_pem ug make_public_pem tool operations. Una ka nga nakamugna og pribadong yawe gamit ang make_private_pem nga operasyon. Gitakda nimo ang elliptic curve nga gamiton, ang pribadong yawe filengalan, ug mahimo bang panalipdan ang pribadong yawe gamit ang usa ka passphrase. Girekomenda sa Intel ang paggamit sa secp384r1 curve ug pagsunod sa labing kaayo nga mga gawi sa industriya aron makahimo usa ka lig-on, random nga passphrase sa tanan nga pribado nga yawe files. Girekomenda usab sa Intel ang pagpugong sa file permiso sa sistema sa pribadong yawe .pem filebasahon lang sa tag-iya. Nakuha nimo ang public key gikan sa private key gamit ang make_public_pem operation. Makatabang ang pagngalan sa yawe nga .pem files deskriptibo. Kini nga dokumento naggamit sa kombensiyon _ .pem sa mosunod nga examples.
1. Sa Nios II command shell, padagana ang mosunod nga command para maghimo ug private key. Ang pribado nga yawe, nga gipakita sa ubos, gigamit ingon nga ugat nga yawe sa ulahi nga examples nga naghimo sa usa ka signature chain. Ang Intel Agilex 7 nga mga aparato nagsuporta sa daghang mga yawe sa ugat, mao nga ikaw

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 7

2. Authentication ug Authorization 683823 | 2023.05.23

balika kini nga lakang sa paghimo sa imong gikinahanglan nga gidaghanon sa mga yawe sa gamut. ExampAng mga les niini nga dokumento ang tanan nagtumong sa unang root key, bisan pa nga mahimo ka nga magtukod og mga signature chain sa susama nga paagi sa bisan unsang root key.

Opsyon Uban sa passphrase

Deskripsyon
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 root0_private.pem Isulod ang passphrase kon giaghat sa pagbuhat niini.

Walay passphrase

quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 –no_passphrase root0_private.pem

2. Pagdalagan ang mosunod nga sugo sa paghimo ug publikong yawe gamit ang pribadong yawe nga namugna sa miaging lakang. Dili nimo kinahanglan nga panalipdan ang pagkakompidensyal sa usa ka publiko nga yawe.
quartus_sign –family=agilex –operation=make_public_pem root0_private.pem root0_public.pem
3. Padagana pag-usab ang mga sugo aron makahimo og key pair nga gigamit isip design signing key sa signature chain.
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 design0_sign_private.pem

quartus_sign –family=agilex –operation=make_public_pem design0_sign_private.pem design0_sign_public.pem

2.1.2. Paghimo Authentication Key Pares sa SoftHSM
Ang SoftHSM examples niini nga kapitulo mao ang kaugalingon nga makanunayon. Ang pila ka mga parameter nagdepende sa imong pag-instalar sa SoftHSM ug usa ka pagsugod sa token sulod sa SoftHSM.
Ang quartus_sign tool nagdepende sa PKCS #11 API library gikan sa imong HSM.
Ang examples niini nga seksyon maghunahuna nga ang SoftHSM librarya na-install sa usa sa mosunod nga mga lokasyon: · /usr/local/lib/softhsm2.so sa Linux · C:SoftHSM2libsofthsm2.dll sa 32-bit nga bersyon sa Windows · C:SoftHSM2libsofthsm2-x64 .dll sa 64-bit nga bersyon sa Windows.
Pagsugod ug token sulod sa SoftHSM gamit ang softhsm2-util tool:
softhsm2-util –init-token –label agilex-token –pin agilex-token-pin –so-pin agilex-so-pin –libre
Ang mga parameter sa opsyon, ilabi na ang token label ug token pin kay exampgigamit sa tibuok niini nga kapitulo. Girekomenda sa Intel nga imong sundon ang mga panudlo gikan sa imong HSM vendor aron makahimo ug magdumala sa mga token ug yawe.
Gihimo nimo ang mga pares nga yawe sa panghimatuud gamit ang pkcs11-tool utility aron makig-uban sa token sa SoftHSM. Inay sa dayag nga nagtumong sa pribado ug publiko nga yawe .pem files sa file sistema examples, imong gi-refer ang key pair pinaagi sa label niini ug ang himan mopili sa angay nga yawe awtomatik.

Intel Agilex® 7 Device Security User Guide 8

Ipadala ang Feedback

2. Authentication ug Authorization 683823 | 2023.05.23

Pagdalagan ang mosunud nga mga mando aron makahimo usa ka yawe nga pares nga gigamit ingon nga ugat nga yawe sa ulahi nga examples ingon man usa ka pares nga yawe nga gigamit ingon usa ka yawe sa pagpirma sa disenyo sa kadena sa pirma:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanismo ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label root0 –id 0
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen –mekanismo ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label design0_sign –id 1

Mubo nga sulat:

Ang opsyon sa ID niini nga lakang kinahanglang talagsaon sa matag yawe, apan kini gigamit lamang sa HSM. Kini nga opsyon sa ID walay kalabotan sa key cancellation ID nga gi-assign sa signature chain.

2.1.3. Paghimo sa Signature Chain Root Entry
I-convert ang root public key ngadto sa signature chain root entry, nga gitipigan sa local file sistema sa Intel Quartus Prime key (.qky) format file, uban ang make_root nga operasyon. Balika kini nga lakang alang sa matag root key nga imong namugna.
Pagdalagan ang mosunod nga sugo aron makahimo og signature chain nga adunay root entry, gamit ang root public key gikan sa file sistema:
quartus_sign –family=agilex –operation=make_root –key_type=owner root0_public.pem root0.qky
Pagdalagan ang mosunod nga sugo aron makahimo og signature chain nga adunay root entry, gamit ang root key gikan sa SoftHSM token nga gitukod sa naunang seksyon:
quartus_sign –family=agilex –operation=make_root –key_type=owner –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so ” root0 root0.qky

2.1.4. Paghimo ug Signature Chain Public Key Entry
Paghimo og bag-ong entry sa public key para sa signature chain nga adunay append_key nga operasyon. Imong gipiho ang nag-una nga kadena sa pirma, ang pribado nga yawe alang sa katapusan nga pagsulod sa nag-una nga kadena sa pirma, ang sunod nga lebel sa publiko nga yawe, ang mga pagtugot ug ID sa pagkansela nga imong gihatag sa sunod nga lebel sa publiko nga yawe, ug ang bag-ong kadena sa pirma file.
Matikdi nga ang softHSM library dili magamit sa pag-install sa Quartus ug kinahanglan nga i-install nga gilain. Para sa dugang nga impormasyon bahin sa softHSM tan-awa ang Seksyon Paghimo og Signature Chain sa ibabaw.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 9

2. Authentication ug Authorization 683823 | 2023.05.23
Depende sa imong paggamit sa mga yawe sa file sistema o sa usa ka HSM, imong gigamit ang usa sa mosunod nga exampAng mga mando nga idugang ang design0_sign public key sa root signature chain nga gihimo sa naunang seksyon:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=6 –cancel=0 –input_pem=design0_sign_public.pem design0_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=6 –cancel=0 –input_keyname=design0_sign design0_sign_chain.qky
Mahimo nimong balikon ang operasyon sa append_key hangtod sa duha pa ka beses alang sa labing taas nga tulo ka mga entri sa publiko nga yawe tali sa pagsulod sa ugat ug pagsulod sa header block sa bisan unsang kadena sa pirma.
Ang mosunod nga exampNagtuo si le nga naghimo ka ug lain nga panghimatuud nga publiko nga yawe nga adunay parehas nga pagtugot ug gi-assign nga pagkansela ID 1 nga gitawag nga design1_sign_public.pem, ug gidugang kini nga yawe sa kadena sa pirma gikan sa miaging example:
quartus_sign –family=agilex –operation=append_key –previous_pem=design0_sign_private.pem –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_pem=design1_sign_public.pem design1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= design0_sign –previous_qky=design0_sign_chain.qky –permission=6 –cancel=1 –input_keyname=design1_sign design1_sign_chain.qky
Ang Intel Agilex 7 nga mga himan naglakip sa usa ka dugang nga key cancellation counter aron mapadali ang paggamit sa usa ka yawe nga mahimong mausab matag karon ug unya sa tibuok kinabuhi sa usa ka device. Mahimo nimong pilion kining key cancellation counter pinaagi sa pag-ilis sa argumento sa –cancel option ngadto sa pts:pts_value.
2.2. Pagpirma sa usa ka Configuration Bitstream
Ang Intel Agilex 7 nga mga device nagsuporta sa Security Version Number (SVN) nga mga counter, nga nagtugot kanimo sa pagbawi sa pagtugot sa usa ka butang nga walay pagkansela sa usa ka yawe. Imong gi-assign ang SVN counter ug ang angay nga SVN counter value atol sa pagpirma sa bisan unsang butang, sama sa bitstream section, firmware .zip file, o compact nga sertipiko. Imong i-assign ang SVN counter ug SVN value gamit ang –cancel option ug svn_counter:svn_value isip argumento. Ang balido nga kantidad alang sa svn_counter mao ang svnA, svnB, svnC, ug svnD. Ang svn_value kay integer sulod sa range [0,63].

Intel Agilex® 7 Device Security User Guide 10

Ipadala ang Feedback

2. Authentication ug Authorization 683823 | 2023.05.23
2.2.1. Quartus Key File Assignment
Gitakda nimo ang usa ka kadena sa pirma sa imong proyekto sa software sa Intel Quartus Prime aron mahimo ang bahin sa pag-authenticate alang sa kana nga disenyo. Gikan sa Assignments menu, pilia ang Device Device ug Pin Options Security Quartus Key File, dayon browse sa signature chain .qky file imong gibuhat aron pirmahan kini nga disenyo.
Figure 1. I-enable ang Configuration Bitstream Setting

Sa laing paagi, mahimo nimong idugang ang mosunod nga pahayag sa assignment sa imong Intel Quartus Prime Settings file (.qsf):
set_global_assignment -ngalan QKY_FILE design0_sign_chain.qky
Aron makamugna og .sof file gikan sa usa ka nahipos na nga disenyo, nga naglakip niini nga setting, gikan sa Processing menu, pilia ang Start Start Assembler. Ang bag-ong output .sof file naglakip sa mga buluhaton aron makahimo sa pag-authenticate sa gihatag nga kadena sa pirma.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 11

2. Authentication ug Authorization 683823 | 2023.05.23
2.2.2. Co-Pagpirma sa SDM Firmware
Gigamit nimo ang tool sa quartus_sign sa pagkuha, pagpirma, ug pag-install sa magamit nga SDM firmware .zip file. Ang gipirmahan nga firmware unya gilakip sa programming file himan generator sa diha nga imong kinabig .sof file ngadto sa configuration bitstream .rbf file. Gigamit nimo ang mosunod nga mga sugo sa paghimo og bag-ong signature chain ug pagpirma sa SDM firmware.
1. Paghimo og bag-ong signing key pair.
a. Paghimo og bag-ong signing key pair sa file sistema:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 firmware1_private.pem
quartus_sign –family=agilex –operation=make_public_pem firmware1_private.pem firmware1_public.pem
b. Paghimo og bag-ong signing key pair sa HSM:
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen -mekanismo ECDSA-KEY-PAIR-GEN –key-type EC :secp384r1 –usage-sign –label firmware1 –id 1
2. Paghimo og bag-ong signature chain nga adunay bag-ong public key:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x1 –cancel=1 –input_pem=firmware1_public.pem firmware1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=1 –cancel=1 –input_keyname=firmware1 firmware1_sign_chain.qky
3. Kopyaha ang firmware .zip file gikan sa imong Intel Quartus Prime Pro Edition software installation directory ( /devices/programmer/firmware/ agilex.zip) ngadto sa kasamtangan nga working directory.
quartus_sign –family=agilex –get_firmware=.
4. Pirmahan ang firmware .zip file. Awtomatikong gibuksan sa himan ang .zip file ug tagsa-tagsa mopirma sa tanang firmware .cmf files, unya gitukod pag-usab ang .zip file alang sa paggamit sa mga himan sa mosunod nga mga seksyon:
quartus_sign –family=agilex –operation=sign –qky=firmware1_sign_chain.qky –cancel=svnA:0 –pem=firmware1_private.pem agilex.zip signed_agilex.zip
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Intel Agilex® 7 Device Security User Guide 12

Ipadala ang Feedback

2. Authentication ug Authorization 683823 | 2023.05.23

–keyname=firmware1 –cancel=svnA:0 –qky=firmware1_sign_chain.qky agilex.zip signed_agilex.zip

2.2.3. Pagpirma sa Configuration Bitstream Gamit ang quartus_sign Command
Sa pagpirma sa usa ka configuration bitstream gamit ang quartus_sign command, una nimo nga i-convert ang .sof file sa unsigned hilaw nga binary file (.rbf) nga porma. Mahimo nimong ipiho ang gipirmahan nga firmware gamit ang kapilian nga fw_source sa panahon sa lakang sa pagkakabig.
Mahimo nimong makamugna ang wala mapirmahan nga hilaw nga bitstream sa .rbf format gamit ang mosunod nga sugo:
quartus_pfg c o fw_source=signed_agilex.zip -o sign_later=ON design.sof unsigned_bitstream.rbf
Pagdalagan ang usa sa mosunod nga mga sugo aron mapirmahan ang bitstream gamit ang quartus_sign tool depende sa lokasyon sa imong mga yawe:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_bitstream.rbf signed_bitstream.rbf
Mahimo nimong i-convert ang pinirmahan nga .rbf files sa uban pang configuration bitstream file mga porma.
Kay example, kung ikaw naggamit sa Jam* Standard Test and Programming Language (STAPL) Player sa pagprograma sa usa ka bitstream sa JTAG, imong gamiton ang mosunod nga sugo sa pag-convert sa .rbf file sa .jam nga format nga gikinahanglan sa Jam STAPL Player:
quartus_pfg -c signed_bitstream.rbf signed_bitstream.jam

2.2.4. Partial Reconfiguration Multi-Authority Support

Ang Intel Agilex 7 nga mga himan nagsuporta sa partial reconfiguration multi-authority authentication, diin ang tag-iya sa device nagmugna ug nagpirma sa static bitstream, ug usa ka bulag nga tag-iya sa PR ang nagmugna ug nagpirma sa PR persona bitstreams. Ang Intel Agilex 7 nga mga himan nag-implementar sa suporta sa multi-authority pinaagi sa pag-assign sa unang authentication root key slots ngadto sa device o static bitstream owner ug pag-assign sa final authentication root key slot ngadto sa partial reconfiguration persona bitstream owner.
Kung ang bahin sa pag-authenticate gipagana, nan ang tanan nga PR persona nga mga imahe kinahanglan nga pirmahan, lakip ang nested PR persona nga mga imahe. Ang PR persona nga mga hulagway mahimong pirmahan sa tag-iya sa device o sa tag-iya sa PR; bisan pa, ang mga static nga bitstream sa rehiyon kinahanglan nga pirmahan sa tag-iya sa aparato.

Mubo nga sulat:

Ang Partial Reconfiguration static ug persona bitstream encryption kung ang suporta sa multi-authority gipagana giplano sa umaabot nga pagpagawas.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 13

2. Authentication ug Authorization 683823 | 2023.05.23

Hulagway 2.

Ang pagpatuman sa partial reconfiguration multi-authority nga suporta nanginahanglan daghang mga lakang:
1. Ang device o static bitstream nga tag-iya makamugna og usa o daghan pang authentication root keys sama sa gihulagway sa Creating Authentication Key Pairs sa SoftHSM sa pahina 8, diin ang –key_type nga opsyon adunay tag-iya og value.
2. Ang tag-iya sa partial reconfiguration bitstream nagmugna ug authentication root key pero giusab ang –key_type nga option value ngadto sa secondary_owner.
3. Parehong ang static nga bitstream ug partial reconfiguration nga mga tag-iya sa disenyo nagsiguro nga ang Enable Multi-Authority support checkbox gipalihok sa Assignments Device Device ug Pin Options Security tab.
Ang Intel Quartus Prime Enable Multi-Authority Option Settings

4. Ang mga tag-iya sa static nga bitstream ug partial reconfiguration nga disenyo nagmugna ug signature chain base sa ilang tagsa-tagsa ka root keys sama sa gihulagway sa Creating a Signature Chain sa pahina 6.
5. Parehong ang static nga bitstream ug partial reconfiguration nga mga tag-iya sa disenyo nag-convert sa ilang gihugpong nga mga disenyo ngadto sa .rbf format files ug pirmahi ang .rbf files.
6. Ang device o static bitstream nga tag-iya naghimo ug nagpirma sa usa ka PR public key program authorization compact certificate.
quartus_pfg –ccert o ccert_type=PR_PUBKEY_PROG_AUTH o owner_qky_file=”root0.qky;root1.qky” unsigned_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=s10-token –user_pin=s10-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_pr_pubkey_prog.ccert signed_pr_pubkey_prog.ccert

Intel Agilex® 7 Device Security User Guide 14

Ipadala ang Feedback

2. Authentication ug Authorization 683823 | 2023.05.23

7. Ang device o static bitstream tag-iya naghatag sa ilang authentication root key hash ngadto sa device, dayon programa sa PR public key program authorization compact certificate, ug sa kataposan naghatag sa partial reconfiguration bitstream owner root key sa device. Ang seksyon sa Paghatag sa Device naghulagway niini nga proseso sa paghatag.
8. Ang Intel Agilex 7 device gi-configure sa static nga rehiyon .rbf file.
9. Ang Intel Agilex 7 device kay partially reconfigured sa persona design .rbf file.
May Kalabutan nga Impormasyon
· Paghimo og Signature Chain sa panid 6
· Paghimo sa Authentication Key Pares sa SoftHSM sa panid 8
· Pagtagana sa Device sa panid 25

2.2.5. Pag-verify sa Configuration Bitstream Signature Chains
Pagkahuman nimo paghimo og mga signature chain ug gipirmahan nga mga bitstream, mahimo nimong pamatud-an nga ang usa ka pinirmahan nga bitstream husto nga nag-configure sa usa ka aparato nga giprograma sa gihatag nga root key. Una nimong gamiton ang fuse_info nga operasyon sa quartus_sign nga sugo aron i-print ang hash sa root public key sa usa ka text file:
quartus_sign –family=agilex –operation=fuse_info root0.qky hash_fuse.txt

Dayon imong gamiton ang check_integrity nga opsyon sa quartus_pfg nga sugo aron masusi ang signature chain sa matag seksyon sa gipirmahan nga bitstream sa .rbf format. Ang opsyon sa check_integrity nag-imprinta sa mosunod nga impormasyon:
· Kahimtang sa kinatibuk-ang pagsusi sa integridad sa bitstream
· Mga sulod sa matag entry sa matag signature chain nga gilakip sa matag seksyon sa bitstream .rbf file,
· Gipaabot nga kantidad sa fuse para sa hash sa root public key para sa matag signature chain.
Ang bili gikan sa fuse_info output kinahanglang motakdo sa Fuse lines sa check_integrity output.
quartus_pfg –check_integrity signed_bitstream.rbf

Ania ang usa ka example sa check_integrity command output:

Impormasyon: Command: quartus_pfg –check_integrity signed_bitstream.rbf Integrity status: OK

Seksyon

Type: CMF

Signature Descriptor…

Signature chain #0 (mga entry: -1, offset: 96)

Entry #0

Fuse: 34FD3B5F 7829001F DE2A24C7 3A7EAE29 C7786DB1 D6D5BC3C 52741C79

72978B22 0731B082 6F596899 40F32048 AD766A24

Paghimo yawe…

Kurba: secp384r1

X

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

456FF53F5DBB3A69E48A042C62AB6B0

Y

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Paghimo yawe…

Kurba: secp384r1

X

: 29C39C3064AE594A36DAA85602D6AF0B278CBB0B207C4D97CFB6967961E5F0ECA

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 15

2. Authentication ug Authorization 683823 | 2023.05.23

456FF53F5DBB3A69E48A042C62AB6B0

Y

: 3E81D40CBBBEAC13601247A9D53F4A831308A24CA0BDFFA40351EE76438C7B5D2

2826F7E94A169023AFAE1D1DF4A31C2

Entry #1

Paghimo yawe…

Kurba: secp384r1

X

: 015290C556F1533E5631322953E2F9E91258472F43EC954E05D6A4B63D611E04B

C120C7E7A744C357346B424D52100A9

Y

: 68696DEAC4773FF3D5A16A4261975424AAB4248196CF5142858E016242FB82BC5

08A80F3FE7F156DEF0AE5FD95BDFE05

Entry #2 Keychain permiso: SIGN_CODE Keychain mahimong kanselahon pinaagi sa ID: 3 Signature chain #1 (mga entry: -1, offset: 648)

Entry #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entry #1

Paghimo yawe…

Kurba: secp384r1

X

: 1E8FBEDC486C2F3161AFEB028D0C4B426258293058CD41358A164C1B1D60E5C1D

74D982BC20A4772ABCD0A1848E9DC96

Y

: 768F1BF95B37A3CC2FFCEEB071DD456D14B84F1B9BFF780FC5A72A0D3BE5EB51D

0DA7C6B53D83CF8A775A8340BD5A5DB

Entry #2

Paghimo yawe…

Kurba: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Pagtugot sa Entry #3 Keychain: SIGN_CODE Keychain mahimong kanselahon pinaagi sa ID: 15 Signature chain #2 (mga entry: -1, offset: 0) Signature chain #3 (entry: -1, offset: 0) Signature chain #4 (mga entry: -1, offset: 0) Signature chain #5 (mga entry: -1, offset: 0) Signature chain #6 (entry: -1, offset: 0) Signature chain #7 (entry: -1, offset: 0)

Uri sa Seksyon: IO Signature Descriptor … Signature chain #0 (mga entry: -1, offset: 96)

Entry #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Intel Agilex® 7 Device Security User Guide 16

Ipadala ang Feedback

2. Authentication ug Authorization 683823 | 2023.05.23

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entry #1

Paghimo yawe…

Kurba: secp384r1

X

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

Y

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entry #2

Paghimo yawe…

Kurba: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entry #3 Keychain permiso: SIGN_CORE Keychain mahimong kanselahon pinaagi sa ID: 15 Signature chain #1 (mga entry: -1, offset: 0) Signature chain #2 (entry: -1, offset: 0) Signature chain #3 (entry: -1, offset: 0) Signature chain #4 (mga entry: -1, offset: 0) Signature chain #5 (entries: -1, offset: 0) Signature chain #6 (mga entry: -1, offset: 0) Signature kadena #7 (mga entry: -1, offset: 0)

Seksyon

Type: HPS

Signature Descriptor…

Signature chain #0 (mga entry: -1, offset: 96)

Entry #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entry #1

Paghimo yawe…

Kurba: secp384r1

X

: FAF423E08FB08D09F926AB66705EB1843C7C82A4391D3049A35E0C5F17ACB1A30

09CE3F486200940E81D02E2F385D150

Y

: 397C0DA2F8DD6447C52048CD0FF7D5CCA7F169C711367E9B81E1E6C1E8CD9134E

5AC33EE6D388B1A895AC07B86155E9D

Entry #2

Paghimo yawe…

Kurba: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 17

2. Authentication ug Authorization 683823 | 2023.05.23

Entry #3 Keychain permiso: SIGN_HPS Keychain mahimong kanselahon pinaagi sa ID: 15 Signature chain #1 (mga entry: -1, offset: 0) Signature chain #2 (entry: -1, offset: 0) Signature chain #3 (entry: -1, offset: 0) Signature chain #4 (mga entry: -1, offset: 0) Signature chain #5 (entries: -1, offset: 0) Signature chain #6 (mga entry: -1, offset: 0) Signature kadena #7 (mga entry: -1, offset: 0)

Uri sa Seksyon: CORE Signature Descriptor … Signature chain #0 (mga entry: -1, offset: 96)

Entry #0

Fuse: FA6528BE 9281F2DB B787E805 6BF6EE0E 28983C56 D568B141 8EEE4BF6

DAC2D422 0A3A0F27 81EFC6CD 67E973BF AC286EAE

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Paghimo yawe…

Kurba: secp384r1

X

: 47A453474A8D886AB058615EB1AB38A75BAC9F0C46E564CB5B5DCC1328244E765

0411C4592FAFFC71DE36A105B054781

Y

: 6087D3B4A5C8646B4DAC6B5C863CD0E705BD0C9D2C141DE4DE7BDDEB85C0410D8

6B7312EEE8241189474262629501FCD

Entry #1

Paghimo yawe…

Kurba: secp384r1

X

: 646B51F668D8CC365D72B89BA8082FDE79B00CDB750DA0C984DC5891CDF57BD21

44758CA747B1A8315024A8247F12E51

Y

: 53513118E25E16151FD55D7ECDE8293AF6C98A74D52E0DA2527948A64FABDFE7C

F4EA8B8E229218D38A869EE15476750

Entry #2

Paghimo yawe…

Kurba: secp384r1

X

: 13986DDECAB697A2EB26B8EBD25095A8CC2B1A0AB0C766D029CDF2AFE21BE3432

76896E771A9C6CA5A2D3C08CF4CB83C

Y

: 0A1384E9DD209238FF110D867B557414955354EE6681D553509A507A78CFC05A1

49F91CABA72F6A3A1C2D1990CDAEA3D

Entry #3 Keychain permiso: SIGN_CORE Keychain mahimong kanselahon pinaagi sa ID: 15 Signature chain #1 (mga entry: -1, offset: 0) Signature chain #2 (entry: -1, offset: 0) Signature chain #3 (entry: -1, offset: 0) Signature chain #4 (mga entry: -1, offset: 0) Signature chain #5 (entries: -1, offset: 0) Signature chain #6 (mga entry: -1, offset: 0) Signature kadena #7 (mga entry: -1, offset: 0)

Intel Agilex® 7 Device Security User Guide 18

Ipadala ang Feedback

683823 | 2023.05.23 Magpadala ug Feedback

AES Bitstream Encryption

Ang Advanced Encryption Standard (AES) bitstream encryption usa ka feature nga makapahimo sa tag-iya sa device sa pagpanalipod sa confidentiality sa intellectual property sa usa ka configuration bitstream.
Aron makatabang sa pagpanalipod sa pagkakompidensyal sa mga yawe, ang configuration bitstream encryption naggamit ug kadena sa AES keys. Kini nga mga yawe gigamit sa pag-encrypt sa datos sa tag-iya sa configuration bitstream, diin ang unang intermediate key gi-encrypt gamit ang AES root key.

3.1. Paghimo sa AES Root Key

Mahimo nimong gamiton ang quartus_encrypt tool o stratix10_encrypt.py reference nga pagpatuman sa paghimo og AES root key sa Intel Quartus Prime software encryption key (.qek) format file.

Mubo nga sulat:

Ang stratix10_encrypt.py file gigamit alang sa Intel Stratix® 10, ug Intel Agilex 7 nga mga aparato.

Mahimo nimong ipiho ang base key nga gigamit aron makuha ang AES root key ug key derivation key, ang bili alang sa AES root key direkta, ang gidaghanon sa intermediate key, ug ang maximum nga paggamit matag intermediate key.

Kinahanglan nimong ipiho ang pamilya sa aparato, output .qek file lokasyon, ug passphrase kung giaghat.
Pagdalagan ang mosunod nga sugo aron makamugna ang AES root key gamit ang random data para sa base key ug default values ​​para sa gidaghanon sa intermediate keys ug maximum key use.
Aron magamit ang pagpatuman sa reperensiya, ilisan nimo ang usa ka tawag sa tighubad sa Python nga gilakip sa software sa Intel Quartus Prime ug laktawan ang –family=agilex nga kapilian; ang tanan nga uban nga mga kapilian katumbas. Kay example, ang quartus_encrypt nga sugo nga makita sa ulahi sa seksyon

quartus_encrypt –family=agilex –operation=MAKE_AES_KEY aes_root.qek

mahimong mabag-o ngadto sa katumbas nga tawag sa pagpatuman sa pakisayran sama sa mosunod pgm_py stratix10_encrypt.py –operation=MAKE_AES_KEY aes_root.qek

3.2. Mga Setting sa Quartus Encryption
Aron mahimo ang bitstream encryption alang sa usa ka disenyo, kinahanglan nimong ipiho ang angay nga mga kapilian gamit ang Assignments Device Device ug Pin Options Security panel. Imong pilion ang Enable configuration bitstream encryption checkbox, ug ang gitinguha nga Encryption key storage location gikan sa dropdown menu.

Intel Corporation. Tanang katungod gigahin. Ang Intel, ang logo sa Intel, ug uban pang mga marka sa Intel mao ang mga marka sa pamatigayon sa Intel Corporation o mga subsidiary niini. Gigarantiya sa Intel ang paghimo sa iyang mga produkto nga FPGA ug semiconductor sa kasamtangang mga espesipikasyon subay sa standard warranty sa Intel, apan adunay katungod sa paghimog mga pagbag-o sa bisan unsang produkto ug serbisyo bisan unsang orasa nga wala’y pahibalo. Ang Intel walay responsibilidad o tulubagon nga naggikan sa aplikasyon o paggamit sa bisan unsang impormasyon, produkto, o serbisyo nga gihulagway dinhi gawas sa dayag nga giuyonan sa pagsulat sa Intel. Gitambagan ang mga kostumer sa Intel nga makuha ang pinakabag-o nga bersyon sa mga detalye sa aparato sa dili pa magsalig sa bisan unsang gipatik nga kasayuran ug sa dili pa magbutang mga order alang sa mga produkto o serbisyo. *Ang ubang mga ngalan ug mga tatak mahimong maangkon nga gipanag-iya sa uban.

ISO 9001:2015 Rehistrado

Figure 3. Intel Quartus Prime Encryption Settings

3. AES Bitstream Encryption 683823 | 2023.05.23

Sa laing paagi, mahimo nimong idugang ang mosunod nga pahayag sa assignment sa imong mga setting sa Intel Quartus Prime file .qsf:
set_global_assignment -ngalan ENCRYPT_PROGRAMMING_BITSTREAM sa set_global_assignment -ngalan PROGRAMMING_BITSTREAM_ENCRYPTION_KEY_SELECT eFuses
Kung gusto nimo nga mahimo ang dugang nga mga pagpaminus batok sa mga vector sa pag-atake sa kilid sa channel, mahimo nimong palihokon ang dropdown nga ratio sa pag-update sa Encryption ug Enable scrambling checkbox.

Intel Agilex® 7 Device Security User Guide 20

Ipadala ang Feedback

3. AES Bitstream Encryption 683823 | 2023.05.23

Ang katugbang nga mga pagbag-o sa .qsf mao ang:
set_global_assignment -ngalan PROGRAMMING_BITSTREAM_ENCRYPTION_CNOC_SCRAMBLING sa set_global_assignment -ngalan PROGRAMMING_BITSTREAM_ENCRYPTION_UPDATE_RATIO 31

3.3. Pag-encrypt sa usa ka Configuration Bitstream
Gi-encrypt nimo ang usa ka bitstream sa configuration sa wala pa mopirma sa bitstream. Ang Intel Quartus Prime Programming File Ang himan sa generator mahimong awtomatik nga mag-encrypt ug mopirma sa usa ka bitstream sa configuration gamit ang graphical user interface o command line.
Mahimo kang opsyonal nga maghimo ug partially encrypted bitstream para gamiton sa quartus_encrypt ug quartus_sign nga mga himan o mga katumbas sa pagpatuman sa reference.

3.3.1. Configuration Bitstream Encryption Gamit ang Programming File Generator Graphical Interface
Mahimo nimong gamiton ang Programming File Generator aron ma-encrypt ug mapirmahan ang tag-iya nga imahe.

Hulagway 4.

1. Sa Intel Quartus Prime File menu pilia ang Programming File Generator. 2. Sa Output Files tab, ipiho ang output file type para sa imong configuration
laraw.
Output File Espesipikasyon

Pag-configure nga laraw Output file tab
Output file tipo

3. Sa Input Files tab, i-klik Add Bitstream ug browse sa imong .sof. 4. Aron matino ang encryption ug authentication nga mga opsyon pilia ang .sof ug i-klik
Mga kabtangan. a. I-on ang Enable signing tool. b. Para sa Pribadong yawe file pilia ang imong signing key private .pem file. c. I-on ang Finalize encryption.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 21

3. AES Bitstream Encryption 683823 | 2023.05.23

Hulagway 5.

d. Para sa Encryption key file, pilia ang imong AES .qek file. Input (.sof) File Properties alang sa Authentication ug Encryption

I-enable ang authentication Ipiho ang pribadong gamut .pem
I-enable ang encryption Ipiho ang encryption key
5. Aron makamugna ang gipirmahan ug na-encrypt nga bitstream, sa Input Files tab, i-klik ang Paghimo. Ang mga kahon sa dialogo sa password makita aron imong i-input ang imong passphrase para sa imong AES key .qek file ug pagpirma sa pribadong yawe .pem file. Ang programming file generator nagmugna sa encrypted ug gipirmahan output_file.rbf.
3.3.2. Configuration Bitstream Encryption Gamit ang Programming File Interface sa Generator Command Line
Paghimo og usa ka encrypted ug gipirmahan nga configuration bitstream sa .rbf format uban sa quartus_pfg command line interface:
quartus_pfg -c encryption_enabled.sof top.rbf -o finalize_encryption=ON -o qek_file=aes_root.qek -o pagpirma=ON -o pem_file=design0_sign_private.pem
Mahimo nimong i-convert ang usa ka encrypted ug gipirmahan nga configuration bitstream sa .rbf format ngadto sa laing configuration bitstream file mga porma.
3.3.3. Partially Encrypted Configuration Bitstream Generation Gamit ang Command Line Interface
Mahimo kang makamugna og partially encrypted nga programming file aron mahuman ang encryption ug pirmahan ang imahe sa ulahi. Paghimo sa partially encrypted programming file sa .rbf nga pormat nga adunay thequartus_pfgcommand line interface: quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON top.sof top.rbf

Intel Agilex® 7 Device Security User Guide 22

Ipadala ang Feedback

3. AES Bitstream Encryption 683823 | 2023.05.23
Gigamit nimo ang quartus_encrypt command line tool aron ma-finalize ang bitstream encryption:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek top.rbf encrypted_top.rbf
Gigamit nimo ang quartus_sign command line tool aron mapirmahan ang encrypted configuration bitstream:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 encrypted_top.rbf signed_encrypted_top.rbf
3.3.4. Partial Reconfiguration Bitstream Encryption
Mahimo nimong ma-enable ang bitstream encryption sa pipila ka mga disenyo sa Intel Agilex 7 FPGA nga naggamit ug partial reconfiguration.
Ang partial reconfiguration nga mga disenyo nga naggamit sa Hierarchical Partial Reconfiguration (HPR), o Static Update Partial Reconfiguration (SUPR) wala mosuporta sa bitstream encryption. Kung ang imong disenyo adunay daghang mga rehiyon sa PR, kinahanglan nimo nga i-encrypt ang tanan nga mga persona.
Aron mahimo ang partial reconfiguration bitstream encryption, sunda ang parehas nga pamaagi sa tanan nga mga pagbag-o sa disenyo. 1. Sa Intel Quartus Prime File menu, pilia ang Assignments Device Device
ug Pin Options Security. 2. Pilia ang gitinguha nga encryption key storage location.
Figure 6. Partial Reconfiguration Bitstream Encryption Setting

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 23

3. AES Bitstream Encryption 683823 | 2023.05.23
Sa laing paagi, mahimo nimong idugang ang mosunod nga pahayag sa assignment sa mga setting sa Quartus Prime file .qsf:
set_global_assignment -ngalan – ENABLE_PARTIAL_RECONFIGURATION_BITSTREAM_ENCRYPTION sa
Human nimo makolekta ang imong base nga disenyo ug mga rebisyon, ang software makamugna og a.soffile ug usa o daghan pa.pmsffiles, nagrepresentar sa mga persona. 3. Paghimo og encrypted ug gipirmahan nga programming filegikan sa.sof ug.pmsf files sa susama nga paagi sa mga disenyo nga walay partial reconfiguration enabled. 4. I-convert ang gihugpong nga persona.pmsf file ngadto sa partially encrypted.rbf file:
quartus_pfg -c -o finalize_encryption_later=ON -o sign_later=ON encryption_enabled_persona1.pmsf persona1.rbf
5. Tapuson ang bitstream encryption gamit ang quartus_encrypt command line tool:
quartus_encrypt –family=agilex –operation=ENCRYPT –key=aes_root.qek persona1.rbf encrypted_persona1.rbf
6. Pagpirma sa encrypted configuration bitstream gamit ang quartus_sign command line tool:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_sign_private.pem encrypted_persona1.rbf signed_encrypted_persona1.rbf
quartus_sign –family=agilex –operation=SIGN –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –qky= design0_sign_chain.qky –cancel=svnA:0 –keyname=design0_sign encrypted_persona1.rbf signed_encrypted_persona1.rbf

Intel Agilex® 7 Device Security User Guide 24

Ipadala ang Feedback

683823 | 2023.05.23 Magpadala ug Feedback

Pagtagana sa Device

Ang inisyal nga paghatag bahin sa seguridad gisuportahan lamang sa firmware sa probisyon sa SDM. Gamita ang Intel Quartus Prime Programmer sa pagkarga sa firmware sa probisyon sa SDM ug paghimo sa mga operasyon sa paghatag.
Mahimo nimong gamiton ang bisan unsang matang sa JTAG pag-download sa cable aron makonektar ang Quartus Programmer sa usa ka aparato nga Intel Agilex 7 aron mahimo ang mga operasyon sa paghatag.
4.1. Paggamit sa SDM Provision Firmware
Ang Intel Quartus Prime Programmer awtomatik nga nagmugna ug nag-load sa usa ka default nga katabang nga imahe sa pabrika kung imong pilion ang pagsugod nga operasyon ug usa ka mando nga magprograma sa usa ka butang gawas sa usa ka bitstream sa pagsasaayos.
Depende sa gitakda nga programming command, ang factory default helper image maoy usa sa duha ka klase:
· Paghatag og katabang nga hulagway–naglangkob sa usa ka bitstream nga seksyon nga adunay sulod sa SDM provisioning firmware.
· Hulagway sa katabang sa QSPI–naglangkob sa duha ka bitstream nga mga seksyon, ang usa adunay sulud nga SDM main firmware ug usa ka seksyon sa I/O.
Mahimo kang maghimo ug factory default helper image file aron i-load sa imong device sa dili pa magbuhat sa bisan unsang programming command. Human sa pagprograma sa usa ka authentication root key hash, kinahanglan ka nga maghimo ug mopirma sa QSPI factory default helper image tungod sa gilakip nga seksyon sa I/O. Kung giprograma usab nimo ang co-signed firmware security setting nga eFuse, kinahanglan nimo nga maghimo provisioning ug QSPI factory default helper nga mga imahe nga adunay co-signed firmware. Mahimo nimong gamiton ang usa ka kauban nga gipirmahan nga default nga katabang nga imahe sa pabrika sa usa ka wala gihatag nga aparato tungod kay ang wala gihatag nga aparato wala magtagad sa mga kadena nga dili pirma sa Intel sa SDM firmware. Tan-awa ang Paggamit sa QSPI Factory Default Helper Image sa Owned Devices sa pahina 26 para sa dugang nga mga detalye mahitungod sa paghimo, pagpirma, ug paggamit sa QSPI factory default helper image.
Ang provisioning factory default helper image naghimo ug provisioning action, sama sa pagprograma sa authentication root key hash, security setting fuses, PUF enrollment, o black key provisioning. Gigamit nimo ang Intel Quartus Prime Programming File Generator command line tool sa paghimo sa provisioning helper image, nagpiho sa helper_image option, imong helper_device name, ang provision helper image subtype, ug opsyonal nga co-signed firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=PROVISION -o fw_source=signed_agilex.zip signed_provision_helper_image.rbf
Iprograma ang imahe sa katabang gamit ang tool sa Intel Quartus Prime Programmer:
quartus_pgm -c 1 -mjtag -o “p;pinirmahan_provision_helper_image.rbf” –puwersa

Intel Corporation. Tanang katungod gigahin. Ang Intel, ang logo sa Intel, ug uban pang mga marka sa Intel mao ang mga marka sa pamatigayon sa Intel Corporation o mga subsidiary niini. Gigarantiya sa Intel ang paghimo sa iyang mga produkto nga FPGA ug semiconductor sa kasamtangang mga espesipikasyon subay sa standard warranty sa Intel, apan adunay katungod sa paghimog mga pagbag-o sa bisan unsang produkto ug serbisyo bisan unsang orasa nga wala’y pahibalo. Ang Intel walay responsibilidad o tulubagon nga naggikan sa aplikasyon o paggamit sa bisan unsang impormasyon, produkto, o serbisyo nga gihulagway dinhi gawas sa dayag nga giuyonan sa pagsulat sa Intel. Gitambagan ang mga kostumer sa Intel nga makuha ang pinakabag-o nga bersyon sa mga detalye sa aparato sa dili pa magsalig sa bisan unsang gipatik nga kasayuran ug sa dili pa magbutang mga order alang sa mga produkto o serbisyo. *Ang ubang mga ngalan ug mga tatak mahimong maangkon nga gipanag-iya sa uban.

ISO 9001:2015 Rehistrado

4. Pagtagana sa Device 683823 | 2023.05.23

Mubo nga sulat:

Mahimo nimong laktawan ang pagsugod nga operasyon gikan sa mga sugo, lakip ang exampAng mga gihatag niini nga kapitulo, human sa pagprograma sa usa ka provision helper image o paggamit sa usa ka command nga naglangkob sa initialize nga operasyon.

4.2. Paggamit sa QSPI Factory Default Helper Image sa mga Tag-iya nga Device
Ang Intel Quartus Prime Programmer awtomatik nga nagmugna ug nagkarga sa QSPI factory default helper image kung imong pilion ang pagsugod nga operasyon alang sa QSPI flash programming file. Human sa pagprograma sa usa ka authentication root key hash, kinahanglan nimong himoon ug pirmahan ang QSPI factory default helper image, ug iprograma ang gipirmahan nga QSPI factory helper image nga gilain sa dili pa iprograma ang QSPI flash. 1. Gigamit nimo ang Intel Quartus Prime Programming File Generator command line tool sa
paghimo sa QSPI helper image, pagpiho sa helper_image option, imong helper_device type, ang QSPI helper image subtype, ug opsyonal nga cosigned firmware .zip file:
quartus_pfg –helper_image -o helper_device=AGFB014R24A -o subtype=QSPI -o fw_source=signed_agilex.zip qspi_helper_image.rbf
2. Gipirmahan nimo ang QSPI factory default helper image:
quartus_sign –family=agilex –operation=sign –qky=design0_sign_chain.qky –pem=design0_sign_private.pem qspi_helper_image.rbf signed_qspi_helper_image.rbf
3. Mahimo nimong gamiton ang bisan unsang QSPI flash programming file format. Ang mosunod nga examples mogamit ug configuration bitstream nga nakabig ngadto sa .jic file porma:
quartus_pfg -c signed_bitstream.rbf signed_flash.jic -o device=MT25QU128 -o flash_loader=AGFB014R24A -o mode=ASX4
4. Imong iprograma ang gipirmahan nga hulagway sa katabang gamit ang Intel Quartus Prime Programmer tool:
quartus_pgm -c 1 -mjtag -o “p;gipirmahan_qspi_helper_image.rbf” –puwersa
5. Imong iprograma ang .jic nga hulagway aron mokidlap gamit ang Intel Quartus Prime Programmer tool:
quartus_pgm -c 1 -mjtag -o “p;signed_flash.jic”

4.3. Pagpanghimatuud sa Root Key Provisioning
Aron maprograma ang tag-iya nga root key hash sa pisikal nga mga fuse, una kinahanglan nimo nga i-load ang provision firmware, sunod nga programa ang tag-iya nga root key hash, ug dayon ipahigayon ang power-on reset. Dili kinahanglan ang power-on reset kung ang programming root key hash sa virtual fuse.

Intel Agilex® 7 Device Security User Guide 26

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23
Sa programa authentication root key hash, imong iprograma ang provision firmware helper image ug ipadagan ang usa sa mosunod nga mga sugo aron maprograma ang root key .qky files.
// Para sa pisikal (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky” –non_volatile_key
// Para sa virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o “p;root0.qky;root1.qky;root2.qky”
4.3.1. Partial Reconfiguration Multi-Authority Root Key Programming
Human sa paghatag sa device o static nga rehiyon bitstream tag-iya gamut yawe, ikaw pag-usab load sa device provision helper larawan, programa sa gipirmahan PR publiko yawe nga programa authorization compact certificate, ug unya probisyon sa PR persona bitstream tag-iya gamut yawe.
// Para sa pisikal (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o “p;root_pr.qky” –pr_pubkey –non_volatile_key
// Para sa virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o “p;p;root_pr.qky” –pr_pubkey
4.4. Programming Key Cancellation ID Fuses
Sugod sa software sa Intel Quartus Prime Pro Edition nga bersyon 21.1, ang pagprograma sa Intel ug tag-iya nga key cancellation ID fuses nanginahanglan sa paggamit sa gipirmahan nga compact certificate. Mahimo nimong pirmahan ang key cancellation ID nga compact certificate nga adunay signature chain nga adunay FPGA section signing permissions. Gihimo nimo ang compact certificate nga adunay programming file generator command line tool. Gipirmahan nimo ang wala pirmahan nga sertipiko gamit ang quartus_sign tool o pagpatuman sa reference.
Ang Intel Agilex 7 nga mga himan nagsuporta sa lain nga mga bangko sa tag-iya nga key cancellation IDs alang sa matag root key. Kung ang usa ka tag-iya nga key cancellation ID compact certificate giprograma ngadto sa Intel Agilex 7 FPGA, ang SDM motino kung unsang root key ang mipirma sa compact certificate ug mohuyop sa key cancellation ID fuse nga katumbas sa maong root key.
Ang mosunod nga examples paghimo ug Intel key cancellation certificate para sa Intel key ID 7. Mahimo nimong ilisan ang 7 sa magamit nga Intel key cancellation ID gikan sa 0-31.
Pagdalagan ang mosunud nga mando aron makahimo usa ka wala pirma nga Intel key cancellation ID compact certificate:
quartus_pfg –ccert -o ccert_type=CANCEL_INTEL_KEY -o cancel_key=7 unsigned_cancel_intel7.ccert
Pagdalagan ang usa sa mosunod nga mga sugo aron mapirmahan ang wala pirmahi nga Intel key cancellation ID compact certificate:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 27

4. Pagtagana sa Device 683823 | 2023.05.23
–keyname=design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_intel7.ccert signed_cancel_intel7.ccert
Pagdalagan ang mosunud nga mando aron maghimo usa ka wala pirma nga tag-iya nga yawe sa pagkansela sa ID nga compact certificate:
quartus_pfg –ccert -o ccert_type=CANCEL_OWNER_KEY -o cancel_key=2 unsigned_cancel_owner2.ccert
Pagdalagan ang usa sa mosunod nga mga sugo aron mapirmahan ang wala pirmahi nga tag-iya nga yawe sa pagkansela sa ID nga compact certificate:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_cancel_owner2.ccert signed_cancel_owner2.ccert
Human nimo mamugna ang usa ka gipirmahan nga key cancellation ID nga compact certificate, imong gamiton ang Intel Quartus Prime Programmer sa pagprograma sa compact certificate ngadto sa device pinaagi sa JTAG.
//Para sa pisikal (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o “pi;gipirmahan_cancel_intel7.ccert” –non_volatile_key quartus_pgm -c 1 -mjtag -o “pi;gipirmahan_cancel_owner2.ccert” –non_volatile_key
//Para sa virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o "pi;gipirmahan_cancel_intel7.ccert" quartus_pgm -c 1 -mjtag -o "pi;gipirmahan_kanselahon_tag-iya2.ccert"
Mahimo nimong ipadala ang compact certificate ngadto sa SDM gamit ang FPGA o HPS mailbox interface.
4.5. Pagkansela sa Root Keys
Gitugotan ka sa Intel Agilex 7 nga mga aparato nga kanselahon ang mga root key hash kung adunay lain nga wala makansela nga root key hash. Imong kanselahon ang usa ka root key hash pinaagi sa una nga pag-configure sa device gamit ang usa ka disenyo kansang signature chain nakagamot sa lain nga root key hash, unya magprograma og usa ka gipirmahan nga root key hash cancellation compact certificate. Kinahanglan nimong pirmahan ang root key hash cancellation compact certificate nga adunay signature chain nga nakagamot sa root key aron kanselahon.
Pagdalagan ang mosunod nga sugo aron makamugna og usa ka wala mapirmahan nga root key hash cancellation compact certificate:
quartus_pfg –ccert -o –ccert_type=CANCEL_KEY_HASH unsigned_root_cancel.ccert

Intel Agilex® 7 Device Security User Guide 28

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23

Pagdalagan ang usa sa mosunod nga mga sugo aron mapirmahan ang wala mapirmahan nga root key hash cancellation compact certificate:
quartus_sign –family=agilex –operation=SIGN –qky=design0_sign_chain.qky –pem=design0_private.pem –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –keyname= design0_sign –qky=design0_sign_chain.qky –cancel=svnA:0 unsigned_root_cancel.ccert signed_root_cancel.ccert
Mahimo nimong iprograma ang usa ka root key hash cancellation compact certificate pinaagi sa JTAG, FPGA, o HPS nga mga mailbox.

4.6. Programming Counter Fuse
Imong gi-update ang Security Version Number (SVN) ug Pseudo Time Stamp (PTS) counter fuse gamit ang pinirmahan nga compact certificates.

Mubo nga sulat:

Ang SDM nagsubay sa minimum nga counter value nga makita atol sa gihatag nga configuration ug dili modawat og counter increment certificates kung ang counter value mas gamay kay sa minimum value. Kinahanglan nimo nga i-update ang tanan nga mga butang nga gi-assign sa usa ka counter ug i-configure pag-usab ang aparato sa wala pa magprograma sa usa ka counter increment nga compact nga sertipiko.

Pagdalagan ang usa sa mosunod nga mga sugo nga katumbas sa counter increment nga sertipiko nga gusto nimong himoon.
quartus_pfg –ccert -o ccert_type=PTS_COUNTER -o counter=<-1:495> unsigned_pts.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_A -o counter=<-1:63> unsigned_svnA.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_B -o counter=<-1:63> unsigned_svnB.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_C -o counter=<-1:63> unsigned_svnC.ccert

quartus_pfg –ccert -o ccert_type=SVN_COUNTER_D -o counter=<-1:63> unsigned_svnD.ccert

Ang counter value nga 1 nagmugna og counter increment authorization certificate. Ang pagprograma sa usa ka counter increment authorization compact certificate makapahimo kanimo sa pagprograma og dugang nga wala pa mapirmahan nga counter increment nga mga sertipiko aron ma-update ang tagsa-tagsa nga counter. Gigamit nimo ang tool nga quartus_sign aron mapirmahan ang mga counter compact nga sertipiko sa parehas nga paagi sa key cancellation ID compact certificates.
Mahimo nimong iprograma ang usa ka root key hash cancellation compact certificate pinaagi sa JTAG, FPGA, o HPS nga mga mailbox.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 29

4. Pagtagana sa Device 683823 | 2023.05.23

4.7. Secure Data Object Service Root Key Provisioning
Gigamit nimo ang Intel Quartus Prime Programmer sa paghatag sa Secure Data Object Service (SDOS) root key. Awtomatikong gikarga sa Programmer ang provision firmware helper image aron mahatagan ang SDOS root key.
quartus_pgm c 1 mjtag –service_root_key –non_volatile_key

4.8. Pagpahimutang sa Seguridad Fuse Provisioning
Gamita ang Intel Quartus Prime Programmer sa pagsusi sa device security setting fuse ug isulat kini sa text-based .fuse file ingon sa mosunod:
quartus_pgm -c 1 -mjtag -o “ei;programming_file.fuse;AGFB014R24B”

Mga Opsyon · i: Ang Programmer nagkarga sa provision firmware helper image ngadto sa device. · e: Gibasa sa Programmer ang fuse gikan sa device ug gitipigan kini sa .fuse file.

Ang .fuse file adunay usa ka lista sa mga pares nga kantidad sa ngalan sa fuse. Ang bili nagtino kung ang usa ka fuse nabuak o ang sulod sa fuse field.

Ang mosunod nga example nagpakita sa pormat sa .fuse file:

# Co-nagpirma sa firmware

= "Wala gihuyop"

# Pagpatay sa Permit sa Device

= "Wala gihuyop"

# Ang aparato dili luwas

= "Wala gihuyop"

# I-disable ang pag-debug sa HPS

= "Wala gihuyop"

# I-disable ang Intrinsic ID nga PUF enrollment

= "Wala gihuyop"

# I-disable ang JTAG

= "Wala gihuyop"

# I-disable ang PUF-wrapped encryption key

= "Wala gihuyop"

# I-disable ang yawe sa pag-encrypt sa tag-iya sa BBRAM = "Wala gihuyop"

# I-disable ang yawe sa pag-encrypt sa tag-iya sa eFuses = "Wala gihuyop"

# I-disable ang tag-iya nga gamut sa public key hash 0

= "Wala gihuyop"

# I-disable ang tag-iya nga gamut sa public key hash 1

= "Wala gihuyop"

# I-disable ang tag-iya nga gamut sa public key hash 2

= "Wala gihuyop"

# I-disable ang virtual eFuses

= "Wala gihuyop"

# Puwersa ang orasan sa SDM sa internal nga oscillator = "Wala gihuyop"

# Force encryption key update

= "Wala gihuyop"

# Intel klaro nga pagkansela sa yawe

= “0”

# Lock security eFuses

= "Wala gihuyop"

# Nahuman ang programa sa yawe sa pag-encrypt sa tag-iya

= "Wala gihuyop"

# Nagsugod ang programa sa yawe sa pag-encrypt sa tag-iya

= "Wala gihuyop"

# Ang tag-iya klaro nga pagkansela sa yawe 0

= “”

# Ang tag-iya klaro nga pagkansela sa yawe 1

= “”

# Ang tag-iya klaro nga pagkansela sa yawe 2

= “”

# Mga piyus sa tag-iya

=

“0x00000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000000000000000000000

0000000000000000000000”

# Tag-iya nga gamut nga public key hash 0

=

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Tag-iya nga gamut nga public key hash 1

=

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Tag-iya nga gamut nga public key hash 2

=

“0x00000000000000000000000000000000000000000000000000000

0000000000000000000000000000000000000000000”

# Ang tag-iya nga gamut nga gidak-on sa publiko nga yawe

= "Wala"

# PTS counter

= “0”

# PTS counter base

= “0”

Intel Agilex® 7 Device Security User Guide 30

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23

Ang # QSPI start up delay # RMA Counter # SDMIO0 kay I2C # SVN counter A # SVN counter B # SVN counter C # SVN counter D

= "10ms" = "0" = "Wala gihuyop" = "0" = "0" = "0" = "0"

Usba ang .fuse file aron i-set ang imong gusto nga security setting fuses. Ang linya nga nagsugod sa # giisip nga linya sa komento. Para magprograma ug security setting fuse, kuhaa ang nag-unang # ug ibutang ang bili sa Blown. Kay example, aron mahimo ang Co-signed Firmware security setting fuse, usba ang unang linya sa fuse file sa mosunud:
Ang gipirmahan nga firmware = "Blown"

Mahimo usab nimo nga igahin ug programa ang Owner Fuses base sa imong mga kinahanglanon.
Mahimo nimong gamiton ang mosunud nga mando aron mahimo ang usa ka blangko nga tseke, programa, ug pag-verify sa tag-iya nga gamut sa publiko nga yawe:
quartus_pgm -c 1 -mjtag -o "ibpv;root0.qky"

Mga Opsyon · i: I-load ang provision firmware helper image ngadto sa device. · b: Naghimo og blangko nga pagsusi aron mapamatud-an nga ang gitinguha nga mga fuse sa setting sa seguridad dili
gihuyop na. · p: Programa ang fuse. · v: Pagmatuod sa giprograma nga yawe sa device.
Human sa pagprograma sa .qky file, mahimo nimong susihon ang impormasyon sa fuse pinaagi sa pagsusi pag-usab sa impormasyon sa fuse aron maseguro nga ang tag-iya nga public key hash ug ang tag-iya nga public key nga gidak-on adunay dili-zero nga mga bili.
Samtang ang mosunod nga mga field dili masulat pinaagi sa .fuse file pamaagi, gilakip sila sa panahon sa pag-eksamin nga output sa operasyon alang sa pag-verify: · Device dili luwas · Device permit pagpatay · I-disable ang tag-iya nga gamut nga public key hash 0 · I-disable ang tag-iya nga root public key hash 1 · I-disable ang tag-iya nga root public key hash 2 · Intel key cancellation · Nagsugod ang programa sa yawe sa pag-encrypt sa tag-iya · Natapos na ang programa sa yawe sa pag-encrypt sa tag-iya · Pagkansela sa yawe sa tag-iya · Ang hash sa yawe sa tag-iya sa tag-iya · Gidak-on sa yawe sa tag-iya sa publiko · Ang hash sa yawe sa tag-iya sa tag-iya 0 · Ang hash sa yawe sa tag-iya sa tag-iya 1 · Ang hash sa yawe sa tag-iya sa publiko 2

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 31

4. Pagtagana sa Device 683823 | 2023.05.23
· PTS counter · PTS counter base · QSPI start up delay · RMA counter · SDMIO0 is I2C · SVN counter A · SVN counter B · SVN counter C · SVN counter D
Gamita ang Intel Quartus Prime Programmer sa pagprograma sa .fuse file balik sa device. Kung imong idugang ang opsyon sa i, ang Programmer awtomatikong magkarga sa provision firmware aron maprograma ang mga fuse sa setting sa seguridad.
//Para sa pisikal (non-volatile) eFuses quartus_pgm -c 1 -mjtag -o "pi; programming_file.fuse” –non_volatile_key
//Para sa virtual (volatile) eFuses quartus_pgm -c 1 -mjtag -o "pi; programming_file.fuse”
Mahimo nimong gamiton ang mosunod nga sugo aron masusi kung ang hash sa root key sa device parehas sa .qky nga gihatag sa command:
quartus_pgm -c 1 -mjtag -o “v;root0_another.qky”
Kung ang mga yawe dili motakdo, ang Programmer mapakyas sa usa ka Operation failed error message.
4.9. AES Root Key Provisioning
Kinahanglang mogamit ka ug pinirmahan nga AES root key compact certificate aron maprograma ang AES root key sa Intel Agilex 7 device.
4.9.1. AES Root Key Compact Certificate
Gigamit nimo ang quartus_pfg command line tool para ma-convert ang imong AES root key .qek file ngadto sa compact certificate .ccert format. Gitakda nimo ang yawe nga lokasyon sa pagtipig samtang nagmugna sa compact nga sertipiko. Mahimo nimong gamiton ang himan nga quartus_pfg aron makahimo usa ka wala pirmahan nga sertipiko alang sa pagpirma sa ulahi. Kinahanglang mogamit ka og signature chain nga adunay AES root key certificate signing permission, permission bit 6, aron malampuson nga makapirma sa AES root key compact certificate.

Intel Agilex® 7 Device Security User Guide 32

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23
1. Paghimo og dugang nga key pair nga gigamit sa pagpirma sa AES key compact certificate gamit ang usa sa mosunod nga command examples:
quartus_sign –family=agilex –operation=make_private_pem –curve=secp384r1 aesccert1_private.pem
quartus_sign –family=agilex –operation=make_public_pem aesccert1_private.pem aesccert1_public.pem
pkcs11-tool –module=/usr/local/lib/softhsm/libsofthsm2.so –token-label agilex-token –login –pin agilex-token-pin –keypairgen nga mekanismo ECDSA-KEY-PAIR-GEN –key-type EC: secp384r1 –usage-sign –label aesccert1 –id 2
2. Paghimo og signature chain nga adunay saktong permission bit set gamit ang usa sa mosunod nga mga command:
quartus_sign –family=agilex –operation=append_key –previous_pem=root0_private.pem –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_pem=aesccert1_public.pem aesccert1_sign_chain.qky
quartus_sign –family=agilex –operation=append_key –module=softHSM -module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so” –previous_keyname= root0 –previous_qky=root0.qky –permission=0x40 –cancel=1 –input_keyname=aesccert1 aesccert1_sign_chain.qky
3. Paghimo ug wala pirmahi nga AES compact certificate para sa gitinguha nga AES root key storage location. Ang mosunod nga AES root key storage nga mga opsyon anaa:
· EFUSE_WRAPPED_AES_KEY
· IID_PUF_WRAPPED_AES_KEY
· UDS_IID_PUF_WRAPPED_AES_KEY
· BBRAM_WRAPPED_AES_KEY
· BBRAM_IID_PUF_WRAPPED_AES_KEY
· BBRAM_UDS_IID_PUF_WRAPPED_AES_KEY
//Paghimo eFuse AES root key unsigned certificate quartus_pfg –ccert -o ccert_type=EFUSE_WRAPPED_AES_KEY -o qek_file=aes.qek unsigned_efuse1.ccert
4. Pirmahan ang compact certificate gamit ang quartus_sign command o reference nga pagpatuman.
quartus_sign –family=agilex –operation=sign –pem=aesccert1_private.pem –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert gipirmahan_ 1.ccert
quartus_sign –family=agilex –operation=sign –module=softHSM –module_args=”–token_label=agilex-token –user_pin=agilex-token-pin –hsm_lib=/usr/local/lib/softhsm/libsofthsm2.so”

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 33

4. Pagtagana sa Device 683823 | 2023.05.23

–keyname=aesccert1 –qky=aesccert1_sign_chain.qky unsigned_ 1.ccert gipirmahan_ 1.ccert
5. Gamita ang Intel Quartus Prime Programmer sa pagprograma sa AES root key compact certificate ngadto sa Intel Agilex 7 device pinaagi sa JTAG. Ang Intel Quartus Prime Programmer nag-default sa pagprograma sa mga virtual nga eFuse kung gigamit ang EFUSE_WRAPPED_AES_KEY nga tipo nga compact certificate.
Imong idugang ang –non_volatile_key nga kapilian aron matino ang programming physical fuses.
//Para sa pisikal (dili-dalidalion) eFuse AES root key quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert” –non_volatile_key

//Para sa virtual (volatile) eFuse AES root key quartus_pgm -c 1 -mjtag -o “pi;signed_efuse1.ccert”

//Para sa BBRAM AES root key quartus_pgm -c 1 -mjtag -o "pi;gipirmahan_bbram1.ccert"

Ang SDM provision firmware ug nag-unang firmware nagsuporta sa AES root key certificate programming. Mahimo usab nimong gamiton ang SDM mailbox interface gikan sa FPGA fabric o HPS aron magprograma og AES root key certificate.

Mubo nga sulat:

Ang quartus_pgm nga sugo wala mosuporta sa mga opsyon b ug v alang sa mga compact certificates(.ccert).

4.9.2. Intrinsic ID® PUF AES Root Key Provisioning
Ang pagpatuman sa Intrinsic* ID PUF nga giputos nga AES Key naglakip sa mosunod nga mga lakang: 1. Pag-enrol sa Intrinsic ID PUF pinaagi sa JTAG. 2. Pagputos sa AES root key. 3. Pagprograma sa data sa katabang ug giputos nga yawe ngadto sa quad SPI flash memory. 4. Pagpangutana sa kahimtang sa pagpaaktibo sa Intrinsic ID PUF.
Ang paggamit sa teknolohiya sa Intrinsic ID nanginahanglan usa ka bulag nga kasabutan sa lisensya sa Intrinsic ID. Ang software sa Intel Quartus Prime Pro Edition nagpugong sa mga operasyon sa PUF nga wala’y angay nga lisensya, sama sa pagpalista, pagputos sa yawe, ug pagprograma sa datos sa PUF sa QSPI flash.

4.9.2.1. Intrinsic ID PUF Enrolment
Aron ma-enrol ang PUF, kinahanglan nimong gamiton ang firmware sa probisyon sa SDM. Ang provision firmware kinahanglang mao ang unang firmware nga na-load human sa power cycle, ug kinahanglan nimo nga i-issue ang PUF enrollment command sa dili pa ang bisan unsang laing command. Ang provision firmware nagsuporta sa ubang mga sugo human sa PUF enrollment, lakip na ang AES root key wrapping ug programming quad SPI, bisan pa niana, kinahanglan nimo nga power cycle ang device aron makarga ang configuration bitstream.
Gigamit nimo ang Intel Quartus Prime Programmer aron ma-trigger ang pagpa-enrol sa PUF ug paghimo sa data sa katabang sa PUF .puf file.

Intel Agilex® 7 Device Security User Guide 34

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23

Hulagway 7.

Intrinsic ID PUF Enrolment
quartus_pgm PUF Enrolment

Enrolment PUF helper data

Secure Device Manager (SDM)

wrapper.puf Katabang Data
Ang Programmer awtomatik nga nag-load sa usa ka provision firmware helper nga imahe kung imong gitakda ang operasyon sa i ug usa ka argumento nga .puf.
quartus_pgm -c 1 -mjtag -o “ei;help_data.puf;AGFB014R24A”
Kung naggamit ka ug co-signed firmware, imong iprograma ang co-signed firmware helper image sa dili pa gamiton ang PUF enrollment command.
quartus_pgm -c 1 -mjtag -o “p;pinirmahan_provision_helper_image.rbf” –force quartus_pgm -c 1 -mjtag -o “e;help_data.puf;AGFB014R24A”
Ang UDS IID PUF na-enrol sa panahon sa paghimo og device, ug dili magamit alang sa reenrollment. Hinuon, imong gigamit ang Programmer aron mahibal-an ang lokasyon sa data sa katabang sa UDS PUF sa IPCS, i-download ang .puf file direkta, ug dayon gamita ang UDS .puf file sa samang paagi sa .puf file gikuha gikan sa Intel Agilex 7 device.
Gamita ang mosunod nga Programmer nga sugo aron makamugna og teksto file nga adunay listahan sa URLs nagtudlo sa espesipiko sa device files sa IPCS:
quartus_pgm -c 1 -mjtag -o “e;ipcs_urls.txt;AGFB014R24B” –ipcs_urls
4.9.2.2. Pagputos sa AES Root Key
Imong gimugna ang IID PUF nga giputos nga AES root key .wkey file pinaagi sa pagpadala ug pinirmahan nga sertipiko sa SDM.
Mahimo nimong gamiton ang Intel Quartus Prime Programmer aron awtomatiko nga makamugna, makapirma, ug ipadala ang sertipiko aron maputos ang imong AES nga root key, o mahimo nimong gamiton ang Intel Quartus Prime Programming. File Generator aron makamugna og usa ka wala mapirmahan nga sertipiko. Gipirmahan nimo ang wala pirmahi nga sertipiko gamit ang imong kaugalingon nga mga himan o ang tool sa pagpirma sa Quartus. Dayon imong gamiton ang Programmer aron ipadala ang gipirmahan nga sertipiko ug ibutang ang imong AES root key. Ang gipirmahan nga sertipiko mahimong magamit sa pagprograma sa tanan nga mga aparato nga makapamatuod sa kadena sa pirma.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 35

4. Pagtagana sa Device 683823 | 2023.05.23

Hulagway 8.

Pagputos sa AES Key Gamit ang Intel Quartus Prime Programmer
.pem Pribado
yawe

.qky

quartus_pgm

I-wrap ang AES Key

AES.QSKigYnature RootCPhuabilnic Key

Paghimo og PUF Wrapped Key

Giputos nga AES Key

SDM

.qek Encryption
yawe

.wkey PUF-Giputos
AES nga yawe

1. Mahimo nimong mamugna ang IID PUF nga giputos nga AES root key (.wkey) uban sa Programmer gamit ang mosunod nga mga argumento:
· Ang .qky file adunay sulod nga signature chain nga adunay pagtugot sa AES root key certificate
· Ang pribado nga .pem file para sa kataposang yawe sa kadena sa pirma
· Ang .qek file nagkupot sa AES root key
· Ang 16-byte initialization vector (iv).

quartus_pgm -c 1 -mjtag –qky_file=aes0_sign_chain.qky –pem_file=aes0_sign_private.pem –qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF -o “ei;aes.wkey;AGFB014R24A”

2. Sa laing bahin, mahimo kang makamugna og unsigned IID PUF wrapping AES root key certificate nga adunay Programming File Generator gamit ang mosunod nga mga argumento:

quartus_pfg –ccert -o ccert_type=IID_PUF_WRAPPED_AES_KEY -o qek_file=aes.qek –iv=1234567890ABCDEF1234567890ABCDEF unsigned_aes.ccert

3. Gipirmahan nimo ang wala pirmahi nga sertipiko gamit ang imong kaugalingon nga mga himan sa pagpirma o ang tool sa quartus_sign gamit ang mosunod nga mando:

quartus_sign –family=agilex –operation=sign –qky=aes0_sign_chain.qky –pem=aes0_sign_private.pem unsigned_aes.ccert signed_aes.ccert

4. Dayon imong gamiton ang Programmer aron ipadala ang gipirmahan nga AES certificate ug ibalik ang giputos nga yawe (.wkey) file:

quarts_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “ei;aes.wkey;AGFB014R24A”

Mubo nga sulat: Ang operasyon sa i dili kinahanglan kung imong gi-load kaniadto ang provision firmware helper image, alang sa example, aron ma-enrol ang PUF.

4.9.2.3. Programming Helper Data ug Wrapped Key sa QSPI Flash Memory
Gigamit nimo ang Quartus Programming File Generator graphical interface para magtukod ug inisyal nga QSPI flash image nga adunay PUF partition. Kinahanglan ka nga makamugna ug magprograma sa tibuok nga flash programming image aron makadugang ug PUF partition sa QSPI flash. Pagmugna sa PUF

Intel Agilex® 7 Device Security User Guide 36

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23

Hulagway 9.

data partition ug paggamit sa PUF helper data ug wrapped key files alang sa flash image generation dili suportado pinaagi sa Programming File Generator command line interface.
Ang mosunod nga mga lakang nagpakita sa paghimo og flash programming image gamit ang PUF helper data ug giputos nga yawe:
1. Sa File menu, i-klik ang Programming File Generator. Sa Output Files tab paghimo sa mosunod nga mga pagpili:
a. Alang sa Pamilya sa Device pilia ang Agilex 7.
b. Para sa Configuration mode pilia ang Active Serial x4.
c. Alang sa Output directory browse sa imong output file direktoryo. Kini nga exampGigamit nako ang output_files.
d. Alang sa Ngalan, itakda ang usa ka ngalan alang sa programming file nga mamugna. Kini nga exampGigamit nako ang output_file.
e. Ubos sa Deskripsyon pilia ang programming files sa pagmugna. Kini nga example nagmugna sa JTAG Dili direkta nga pag-configure File (.jic) para sa configuration sa device ug ang Raw Binary File sa Programming Helper Image (.rbf) para sa device helper image. Kini nga exampGipili usab ni le ang opsyonal nga Memory Map File (.map) ug Raw Programming Data File (.rpd). Ang hilaw nga datos sa programming file gikinahanglan lang kung nagplano ka nga mogamit ug third-party programmer sa umaabot.
Pagprograma File Generator – Output Files Tab - Pilia ang JTAG Dili Direkta nga Pag-configure

Device Family Configuration mode
Output file tab
Direktoryo sa output
JTAG Dili direkta (.jic) Memory Map File Programming Helper Raw Programming Data
Sa Input Files tab, himoa ang mosunod nga mga pagpili: 1. I-klik ang Add Bitstream ug i-browse ang imong .sof. 2. Pilia ang imong .sof file ug pag-klik sa Properties.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 37

4. Pagtagana sa Device 683823 | 2023.05.23
a. I-on ang Enable signing tool. b. Para sa Pribadong yawe file pilia ang imong .pem file. c. I-on ang Finalize encryption. d. Para sa Encryption key file pilia ang imong .qek file. e. I-klik ang OK aron mobalik sa naunang bintana. 3. Aron matino ang imong data sa katabang sa PUF file, i-klik ang Add Raw Data. Usba ang Files sa tipo nga drop-down menu sa Quartus Physical Unclonable Function File (*.puf). Pag-browse sa imong .puf file. Kung ikaw naggamit sa IID PUF ug sa UDS IID PUF, balika kini nga lakang aron .puf files alang sa matag PUF gidugang isip input files. 4. Aron matino ang imong giputos nga yawe sa AES file, i-klik ang Add Raw Data. Usba ang Files sa tipo nga drop-down menu sa Quartus Wrapped Key File (*.wkey). Pag-browse sa imong .wkey file. Kung imong giputos ang mga yawe sa AES gamit ang IID PUF ug ang UDS IID PUF, balika kini nga lakang aron .wkey files alang sa matag PUF gidugang isip input files.
Figure 10. Ipiho ang Input Files alang sa Configuration, Authentication, ug Encryption

Idugang ang Bitstream Idugang ang Raw Data
Mga kabtangan
Pribado nga yawe file
Tapuson ang encryption Encryption key
Sa tab nga Configuration Device, himoa ang mosunod nga mga pagpili: 1. I-klik ang Add Device ug pilia ang imong flash device gikan sa listahan sa available nga flash
mga himan. 2. Pilia ang configuration device nga imong gidugang ug i-klik Add Partition. 3. Sa Edit Partition dialog box para sa Input file ug pilia ang imong .sof gikan sa
listahan sa dropdown. Mahimo nimong ipabilin ang mga default o i-edit ang ubang mga parameter sa Edit Partition dialog box.

Intel Agilex® 7 Device Security User Guide 38

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23
Figure 11. Pagtino sa imong .sof Configuration Bitstream Partition

Configuration Device
I-edit ang Partition Add .sof file

Idugang ang Partition

4. Kung imong idugang ang .puf ug .wkey isip input files, ang Programming File Awtomatikong nagmugna og PUF partition ang Generator sa imong Configuration Device. Aron tipigan ang .puf ug .wkey sa PUF partition, pilia ang PUF partition ug i-klik ang Edit. Sa Edit Partition dialog box, pilia ang imong .puf ug .wkey files gikan sa mga dropdown list. Kung imong tangtangon ang partisyon sa PUF, kinahanglan nimong tangtangon ug idugang pag-usab ang aparato sa pagsumpo alang sa Programming File Generator sa paghimo og laing PUF partition. Kinahanglan nimong sigurohon nga imong pilion ang husto nga .puf ug .wkey file alang sa IID PUF ug UDS IID PUF, matag usa.
Figure 12. Idugang ang .puf ug .wkey files ngadto sa PUF Partition

Partisyon sa PUF

Edit

I-edit ang Partisyon

Flash Loader

Pilia ang Paghimo

5. Alang sa parameter sa Flash Loader pilia ang Intel Agilex 7 device family ug device name nga mohaum sa imong Intel Agilex 7 OPN.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 39

4. Pagtagana sa Device 683823 | 2023.05.23
6. I-klik ang Paghimo aron makamugna ang output files nga imong gipiho sa Output Filedinunggaban.
7. Ang Programming File Gibasa sa generator ang imong .qek file ug nag-aghat kanimo sa imong passphrase. I-type ang imong passphrase isip tubag sa Enter QEK passphrase prompt. I-klik ang Enter key.
8. I-klik ang OK sa diha nga ang Programming File Ang generator nagreport sa malampuson nga henerasyon.
Gigamit nimo ang Intel Quartus Prime Programmer sa pagsulat sa QSPI programming image sa QSPI flash memory. 1. Sa menu sa Intel Quartus Prime Tools pilia ang Programmer. 2. Sa Programmer, i-klik ang Hardware Setup ug dayon pagpili og konektado nga Intel
FPGA Download Cable. 3. I-klik ang Add File ug browse sa imong .jic file.
Hulagway 13. Programa .jic

Pagprograma file

Programa / I-configure

JTAG kadena sa pag-scan
4. I-unselect ang kahon nga nalangkit sa Helper image. 5. Pilia ang Program/Configure para sa .jic output file. 6. I-on ang Start button aron maprograma ang imong quad SPI flash memory. 7. Power cycle sa imong board. Ang disenyo giprograma sa quad SPI flash memory
Ang aparato pagkahuman nagkarga sa target nga FPGA.
Kinahanglan ka nga makamugna ug magprograma sa tibuok nga flash programming image aron makadugang ug PUF partition sa quad SPI flash.
Kung ang partisyon sa PUF anaa na sa flash, posible nga gamiton angIntel Quartus Prime Programmer aron direktang ma-access ang data sa katabang sa PUF ug giputos nga yawe. files. Kay example, kung dili molampos ang pagpaaktibo, posible nga i-enrol pag-usab ang PUF, i-wrap pag-usab ang yawe sa AES, ug iprograma na lang ang PUF. files nga dili kinahanglang i-overwrite ang tibuok flash.

Intel Agilex® 7 Device Security User Guide 40

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23
Gisuportahan sa Intel Quartus Prime Programmer ang mosunod nga argumento sa operasyon alang sa PUF files sa usa ka nag-una nga partisyon sa PUF:
· p: programa
· v: pamatud-i
· r: papasa
· b: blangko nga tsek
Kinahanglan nimong sundon ang parehas nga mga pagdili alang sa pagpalista sa PUF, bisan kung adunay partisyon sa PUF.
1. Gamita ang i operation argument aron makarga ang provision firmware helper image para sa unang operasyon. Kay example, ang mosunod nga command sequence nagpa-enroll pag-usab sa PUF, re-wrap sa AES root key, papason ang daan nga PUF helper data ug wrapped key, dayon program ug verify ang bag-ong PUF helper data ug AES root key.
quartus_pgm -c 1 -mjtag -o “ei;new.puf;AGFB014R24A” quartus_pgm -c 1 -mjtag –ccert_file=signed_aes.ccert -o “e;new.wkey;AGFB014R24A” quartus_pgm -c 1 -mjtag -o “r;old.puf” quartus_pgm -c 1 -mjtag -o “r;old.wkey” quartus_pgm -c 1 -mjtag -o “p;bag-o.puf” quartus_pgm -c 1 -mjtag -o “p;new.wkey” quartus_pgm -c 1 -mjtag -o “v;new.puf” quartus_pgm -c 1 -mjtag -o “v;new.wkey”
4.9.2.4. Pagpangutana sa Intrinsic ID PUF Activation Status
Human nimo ma-enrol ang Intrinsic ID PUF, ibutang ang usa ka AES key, paghimo sa flash programming files, ug i-update ang quad SPI flash, imong power cycle ang imong device aron ma-trigger ang PUF activation ug configuration gikan sa encrypted bitstream. Ang SDM nagtaho sa PUF activation status uban sa configuration status. Kung mapakyas ang pagpaaktibo sa PUF, ang SDM hinuon nagreport sa kahimtang sa sayup sa PUF. Gamita ang quartus_pgm nga sugo sa pagpangutana sa kahimtang sa configuration.
1. Gamita ang mosunod nga sugo sa pagpangutana sa kahimtang sa pagpaaktibo:
quartus_pgm -c 1 -mjtag –status –status_type=”CONFIG”
Ania ang sampang output gikan sa malampuson nga pagpaaktibo:
Impormasyon (21597): Tubag sa CONFIG_STATUS Device nagdagan sa user mode 00006000 RESPONSE_CODE=OK, LENGTH=6 00000000 STATE=IDLE 00160300 Bersyon C000007B MSEL=QSPI_NORMAL, nSTATUS=1,, nSTATUS=1,, nSTATUS=1,
CLOCK_SOURCE=INTERNAL_PLL 0000000B CONF_DONE=1, INIT_DONE=1, CVP_DONE=0, SEU_ERROR=1 00000000 Error location 00000000 Error details Response of PUF_STATUS 00002000 _IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0 00000500 UDS_IID STATUS=PUF_ACTIVATION_SUCCESS,
RELIABILITY_DIAGNOSTIC_SCORE=5, TEST_MODE=0

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 41

4. Pagtagana sa Device 683823 | 2023.05.23

Kung gigamit ra nimo ang IID PUF o ang UDS IID PUF, ug wala pa nakaprograma ang data sa katabang .puf file alang sa PUF sa QSPI flash, kana nga PUF dili ma-activate ug ang PUF status nagpakita nga ang PUF helper data dili balido. Ang mosunod nga example nagpakita sa PUF status kung ang PUF helper data wala giprograma para sa PUF:
Tubag sa PUF_STATUS 00002000 RESPONSE_CODE=OK, LENGTH=2 00000002 USER_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0 00000002 UDS_IID STATUS=PUF_DATA_CORRUPTED,
RELIABILITY_DIAGNOSTIC_SCORE=0, TEST_MODE=0

4.9.2.5. Lokasyon sa PUF sa Flash Memory
Ang nahimutangan sa PUF file lahi alang sa mga disenyo nga nagsuporta sa RSU ug mga disenyo nga wala nagsuporta sa RSU nga bahin.

Para sa mga disenyo nga dili mosuporta sa RSU, kinahanglan nimong iapil ang .puf ug .wkey files sa dihang maghimo ka ug updated nga mga hulagway sa flash. Alang sa mga disenyo nga nagsuporta sa RSU, ang SDM wala mag-overwrite sa mga seksyon sa datos sa PUF sa panahon sa pag-update sa imahe sa pabrika o aplikasyon.

Talaan 2.

Flash Sub-Partitions Layout nga walay RSU Support

Flash Offset (sa bytes)

Gidak-on (sa bytes)

Mga sulod

Deskripsyon

0K 256K

256K 256K

Pagdumala sa Pag-configure sa Firmware Pagdumala sa Firmware sa Pag-configure

Firmware nga nagdagan sa SDM.

512K

256K

Pagdumala sa Configuration Firmware

768K

256K

Pagdumala sa Configuration Firmware

1M

32K

Kopya sa datos sa PUF 0

Data structure para sa pagtipig sa PUF helper data ug PUF-wrapped AES root key copy 0

1M+32K

32K

Kopya sa datos sa PUF 1

Data structure para sa pagtipig sa PUF helper data ug PUF-wrapped AES root key copy 1

Talaan 3.

Flash Sub-Partitions Layout nga adunay Suporta sa RSU

Flash Offset (sa bytes)

Gidak-on (sa bytes)

Mga sulod

Deskripsyon

0K 512K

512K 512K

Desisyon firmware Desisyon firmware

Firmware aron mailhan ug ma-load ang labing taas nga prayoridad nga imahe.

1M 1.5M

512K 512K

Desisyon firmware Desisyon firmware

2M

8K + 24K

Desisyon sa firmware data

Padding

Gireserba alang sa Desisyon sa paggamit sa firmware.

2M + 32K

32K

Gireserba para sa SDM

Gireserba para sa SDM.

2M + 64K

Variable

Imahe sa pabrika

Usa ka yano nga imahe nga imong gihimo ingon usa ka backup kung ang tanan nga ubang mga imahe sa aplikasyon mapakyas sa pagkarga. Kini nga hulagway naglakip sa CMF nga nagdagan sa SDM.

Sunod

32K

Kopya sa datos sa PUF 0

Data structure para sa pagtipig sa PUF helper data ug PUF-wrapped AES root key copy 0
nagpadayon…

Intel Agilex® 7 Device Security User Guide 42

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23

Flash Offset (sa bytes)

Gidak-on (sa bytes)

Sunod +32K 32K

Mga sulod PUF data kopya 1

Sunod + 256K 4K Sunod +32K 4K Sunod +32K 4K

Kopya sa sub-partition nga lamesa 0 Kopya sa sub-partition nga lamesa 1 CMF pointer block nga kopya 0

Sunod +32K _

CMF pointer block nga kopya 1

Variable Variable

Variable Variable

Larawan sa aplikasyon 1 Larawan sa aplikasyon 2

4.9.3. Black Key Provisioning

Deskripsyon
Data structure para sa pagtipig sa PUF helper data ug PUF-wrapped AES root key copy 1
Ang istruktura sa datos aron mapadali ang pagdumala sa pagtipig sa flash.
Usa ka lista sa mga punto sa mga imahe sa aplikasyon sa han-ay sa prayoridad. Kung magdugang ka usa ka imahe, kana nga imahe mahimong labing kataas.
Usa ka ikaduha nga kopya sa lista sa mga punto sa mga imahe sa aplikasyon.
Ang imong una nga imahe sa aplikasyon.
Ang imong ikaduhang aplikasyon nga imahe.

Mubo nga sulat:

Ang Intel Quartus PrimeProgrammer nagtabang sa pag-establisar sa usa ka mutually authenticated secure connection tali sa Intel Agilex 7device ug sa black key provisioning service. Ang luwas nga koneksyon gitukod pinaagi sa https ug nanginahanglan daghang mga sertipiko nga giila gamit ang usa ka teksto file.
Kung gigamit ang Black Key Provisioning, girekomenda sa Intel nga likayan nimo ang eksternal nga pagkonekta sa TCK pin aron ibira o ibira ang usa ka resistor samtang gigamit pa kini alang sa JTAG. Bisan pa, mahimo nimong ikonektar ang TCK pin sa VCCIO SDM power supply gamit ang 10 k resistor. Ang kasamtangan nga giya sa Pin Connection Guidelines aron makonektar ang TCK sa usa ka 1 k pull-down resistor gilakip alang sa pagsumpo sa kasaba. Ang pagbag-o sa giya sa usa ka 10k pull-up resistor dili makaapekto sa gamit sa gamit. Para sa dugang nga impormasyon bahin sa pagkonektar sa TCK pin, tan-awa ang Intel Agilex 7 Pin Connection Guidelines.
Ang Thebkp_tls_ca_certcertificate nagpamatuod sa imong black key provisioning service instance sa imong black key provisioning programmer instance. Ang Thebkp_tls_*certificate nagpamatuod sa imong black key provisioning programmer instance sa imong black key provisioning service instance.
Naghimo ka usa ka teksto file Naglangkob sa gikinahanglan nga kasayuran alang sa Intel Quartus Prime Programmer aron makonektar sa serbisyo sa paghatag sa itom nga yawe. Aron masugdan ang black key provisioning, gamita ang Programmer command line interface aron ipiho ang itom nga key provisioning options nga teksto file. Ang black key provisioning unya awtomatikong mopadayon. Para sa access sa black key nga provisioning service ug kaubang dokumentasyon, palihog kontaka ang Intel Support.
Mahimo nimong palihokon ang itom nga yawe nga paghatag gamit angquartus_pgmcommand:
quartus_pgm -c -m – galamiton –bkp_options=bkp_options.txt
Ang mga argumento sa command nagtino sa mosunod nga impormasyon:

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 43

4. Pagtagana sa Device 683823 | 2023.05.23

· -c: numero sa kable · -m: nagtino sa programming mode sama sa JTAG · –device: nagtino sa indeks sa aparato sa JTAG kadena. Default nga bili mao ang 1. · –bkp_options: nagtino sa usa ka teksto file nga adunay itom nga yawe nga mga kapilian sa paghatag.
Nalambigit nga Impormasyon Intel Agilex 7 Device Family Pin Connection Guidelines

4.9.3.1. Itom nga Key Provisioning Options
Ang itom nga yawe nga mga kapilian sa paghatag usa ka teksto file gipasa ngadto sa Programmer pinaagi sa quartus_pgm nga sugo. Ang file Naglangkob sa gikinahanglan nga impormasyon aron ma-trigger ang black key provisioning.
Ang mosunod kay example sa bkp_options.txt file:
bkp_cfg_id = 1 bkp_ip = 192.167.1.1 bkp_port = 10034 bkp_tls_ca_cert = root.cert bkp_tls_prog_cert = prog.cert bkp_tls_prog_key = prog_key.pem_prok_prok1234 = https://192.167.5.5:5000 bkp_proxy_user = proxy_user bkp_proxy_password = proxy_password

Talaan 4.

Itom nga Key Provisioning Options
Gipakita sa kini nga lamesa ang mga kapilian nga gikinahanglan aron ma-trigger ang paghatag sa itom nga yawe.

Ngalan sa Opsyon

Type

Deskripsyon

bkp_ip

Gikinahanglan

Gipiho ang IP address sa server nga nagpadagan sa serbisyo sa paghatag sa itom nga yawe.

bkp_port

Gikinahanglan

Gipiho ang itom nga yawe nga provisioning service port nga gikinahanglan aron makonektar sa server.

bkp_cfg_id

Gikinahanglan

Gipaila ang itom nga yawe nga provisioning configuration flow ID.
Ang serbisyo sa black key provisioning nagmugna sa black key provisioning configuration flows lakip ang AES root key, gitinguha nga eFuse settings, ug uban pang black key provisioning authorization options. Ang numero nga gi-assign atol sa black key provisioning service setup nagpaila sa black key provisioning configuration flows.
Mubo nga sulat: Daghang mga himan mahimong magtumong sa parehas nga itom nga yawe sa paghatag sa dagan sa pag-configure sa serbisyo.

bkp_tls_ca_cert

Gikinahanglan

Ang gamut nga TLS nga sertipiko nga gigamit sa pag-ila sa itom nga yawe nga mga serbisyo sa paghatag sa Intel Quartus Prime Programmer (Programmer). Usa ka kasaligan nga Awtoridad sa Sertipiko alang sa pananglitan sa serbisyo sa paghatag sa itom nga yawe nag-isyu niini nga sertipiko.
Kung gipadagan nimo ang Programmer sa usa ka kompyuter nga adunay Microsoft® Windows® operating system (Windows), kinahanglan nimo nga i-install kini nga sertipiko sa tindahan sa sertipiko sa Windows.

bkp_tls_prog_cert

Gikinahanglan

Usa ka sertipiko nga gihimo alang sa pananglitan sa itom nga yawe nga provisioning Programmer (BKP Programmer). Kini ang https client certificate nga gigamit sa pag-ila niini nga BKP programmer nga pananglitan
nagpadayon…

Intel Agilex® 7 Device Security User Guide 44

Ipadala ang Feedback

4. Pagtagana sa Device 683823 | 2023.05.23

Ngalan sa Opsyon

Type

bkp_tls_prog_key

Gikinahanglan

bkp_tls_prog_key_pass Opsyonal

bkp_proxy_address bkp_proxy_user bkp_proxy_password

Opsyonal Opsyonal Opsyonal

Deskripsyon
ngadto sa black key provisioning service. Kinahanglan nimo nga i-install ug tugutan kini nga sertipiko sa serbisyo sa paghatag sa itom nga yawe sa wala pa magsugod ang sesyon sa paghatag sa itom nga yawe. Kung gipadagan nimo ang Programmer sa Windows, kini nga kapilian dili magamit. Sa kini nga kaso, ang bkp_tls_prog_key naglakip na niini nga sertipiko.
Ang pribadong yawe nga katumbas sa sertipiko sa BKP Programmer. Ang yawe nagpamatuod sa pagkatawo sa BKP Programmer nga pananglitan sa itom nga yawe sa paghatag serbisyo. Kung imong gipadagan ang Programmer sa Windows, ang .pfx file gihiusa ang bkp_tls_prog_cert nga sertipiko ug ang pribadong yawe. Ang bkp_tlx_prog_key nga opsyon mopasa sa .pfx file sa bkp_options.txt file.
Ang password alang sa bkp_tls_prog_key nga pribadong yawe. Wala kinahanglana sa itom nga yawe sa provisioning configuration nga mga kapilian (bkp_options.txt) nga teksto file.
Gipiho ang proxy server URL adres.
Gipiho ang username sa proxy server.
Gipiho ang proxy authentication password.

4.10. Pag-convert sa Tag-iya nga Root Key, AES Root Key Certificates, ug Fuse files sa Jam STAPL File Mga porma

Mahimo nimong gamiton ang command-line nga command quartus_pfg aron ma-convert ang .qky, AES root key .ccert, ug .fuse files sa Jam STAPL Format File (.jam) ug Jam Byte Code Format File (.jbc). Mahimo nimong gamiton kini files sa pagprograma sa mga Intel FPGA gamit ang Jam STAPL Player ug ang Jam STAPL Byte-Code Player, matag usa.

Ang usa ka .jam o .jbc adunay daghang mga gimbuhaton lakip ang usa ka firmware helper nga pag-configure sa imahe ug programa, blangko nga pagsusi, ug pag-verify sa yawe ug fuse programming.

Pagbantay:

Kung imong i-convert ang AES root key .ccert file sa .jam nga format, ang .jam file Naglangkob sa yawe sa AES sa plaintext apan gitago nga porma. Tungod niini, kinahanglan nimong panalipdan ang .jam file kung gitipigan ang yawe sa AES. Mahimo nimo kini pinaagi sa paghatag sa yawe sa AES sa usa ka luwas nga palibot.

Ania ang mga exampgamay sa quartus_pfg nga mga sugo sa pagkakabig:

quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky;root2.qky” RootKey.jam quartus_pfg -c -o helper_device=AGFB014R24A “root0.qky;root1.qky.jpky;root2.qqky; c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jam quartus_pfg -c -o helper_device=AGFB014R24A aes.ccert aes_ccert.jbc quartus_pfg -c -o helper_device=AGFB014R24A setting helper_device=AGFB014R24A setting. setting sa fuse_fuse.jbc

Para sa dugang nga impormasyon bahin sa paggamit sa Jam STAPL Player para sa device programming tan-awa ang AN 425: Gamit ang Command-Line Jam STAPL Solution para sa Device Programming.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 45

4. Pagtagana sa Device 683823 | 2023.05.23
Pagdalagan ang mosunod nga mga sugo aron maprograma ang tag-iya nga gamut sa publiko nga yawe ug AES encryption key:
//Aron i-load ang helper bitstream sa FPGA. // Ang katabang bitstream naglakip sa probisyon firmware quartus_jli -c 1 -a CONFIGURE RootKey.jam
//Aron iprograma ang tag-iya nga gamut sa publiko nga yawe ngadto sa virtual eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM RootKey.jam
//Aron iprograma ang tag-iya nga gamut sa publiko nga yawe ngadto sa pisikal nga eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG RootKey.jam
//Aron iprograma ang tag-iya sa PR nga gamut sa publiko nga yawe ngadto sa virtual eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG pr_rootkey.jam
//Aron iprograma ang tag-iya sa PR nga gamut sa publiko nga yawe ngadto sa pisikal nga eFuses quartus_jli -c 1 -a PUBKEY_PROGRAM -e DO_UNI_ACT_DO_PR_PUBKEY_FLAG -e DO_UNI_ACT_DO_EFUSES_FLAG pr_rootkey.jam
//Aron iprograma ang AES encryption key CCERT ngadto sa BBRAM quartus_jli -c 1 -a CCERT_PROGRAM EncKeyBBRAM.jam
//Aron iprograma ang AES encryption key CCERT ngadto sa pisikal nga eFuses quartus_jli -c 1 -a CCERT_PROGRAM -e DO_UNI_ACT_DO_EFUSES_FLAG EncKeyEFuse.jam
May Kalabutan nga Impormasyon AN 425: Paggamit sa Command-Line Jam STAPL Solution para sa Device Programming

Intel Agilex® 7 Device Security User Guide 46

Ipadala ang Feedback

683823 | 2023.05.23 Magpadala ug Feedback

Advanced nga mga Feature

5.1. Luwas nga Debug Authorization
Aron mahimo ang Secure Debug Authorization, ang tag-iya sa debug kinahanglan nga maghimo usa ka pares nga yawe sa panghimatuud ug gamiton ang Intel Quartus Prime Pro Programmer aron makamugna usa ka kasayuran sa aparato file para sa device nga nagpadagan sa debug image:
quartus_pgm -c 1 -mjtag -o “ei;device_info.txt;AGFB014R24A” –dev_info
Gigamit sa tag-iya sa device ang tool nga quartus_sign o ang pagpatuman sa reference aron idugang ang usa ka conditional public key entry sa usa ka signature chain nga gituyo alang sa debug operations gamit ang public key gikan sa tag-iya sa debug, ang gikinahanglan nga mga pagtugot, ang device information text. file, ug magamit nga dugang nga mga pagdili:
quartus_sign –family=agilex –operation=append_key –previous_pem=debug_chain_private.pem –previous_qky=debug_chain.qky –permission=0x6 –cancel=1 –dev_info=device_info.txt –restriction=”1,2,17,18″ debug_authorization_public_key.pem secure_debug_auth_chain.qky
Gipadala sa tag-iya sa device ang tibuok nga kadena sa pirma balik ngadto sa tag-iya sa debug, kinsa naggamit sa signature chain ug sa ilang pribadong yawe sa pagpirma sa debug nga hulagway:
quartus_sign –family=agilex –operation=sign –qky=secure_debug_auth_chain.qky –pem=debug_authorization_private_key.pem unsigned_debug_design.rbf authorized_debug_design.rbf
Mahimo nimong gamiton ang quartus_pfg command aron masusi ang signature chain sa matag seksyon niining gipirmahan nga secure debug bitstream sama sa mosunod:
quartus_pfg –check_integrity authorized_debug_design.rbf
Ang output niini nga command nag-imprinta sa restriction values ​​1,2,17,18 sa conditional public key nga gigamit sa paghimo sa gipirmahan nga bitstream.
Ang tag-iya sa debug mahimo unya nga magprograma sa luwas nga awtorisado nga disenyo sa pag-debug:
quartus_pgm -c 1 -mjtag -o “p;authorized_debug_design.rbf”
Mahimong bawion sa tag-iya sa device ang luwas nga pagtugot sa pag-debug pinaagi sa pagkansela sa klaro nga key cancellation ID nga gi-assign sa secure nga debug authorization signature chain.
5.2. Mga Sertipiko sa Pag-debug sa HPS
Ang pagpagana lamang sa awtorisado nga pag-access sa HPS debug access port (DAP) pinaagi sa JTAG interface nagkinahanglan sa pipila ka mga lakang:

Intel Corporation. Tanang katungod gigahin. Ang Intel, ang logo sa Intel, ug uban pang mga marka sa Intel mao ang mga marka sa pamatigayon sa Intel Corporation o mga subsidiary niini. Gigarantiya sa Intel ang paghimo sa iyang mga produkto nga FPGA ug semiconductor sa kasamtangang mga espesipikasyon subay sa standard warranty sa Intel, apan adunay katungod sa paghimog mga pagbag-o sa bisan unsang produkto ug serbisyo bisan unsang orasa nga wala’y pahibalo. Ang Intel walay responsibilidad o tulubagon nga naggikan sa aplikasyon o paggamit sa bisan unsang impormasyon, produkto, o serbisyo nga gihulagway dinhi gawas sa dayag nga giuyonan sa pagsulat sa Intel. Gitambagan ang mga kostumer sa Intel nga makuha ang pinakabag-o nga bersyon sa mga detalye sa aparato sa dili pa magsalig sa bisan unsang gipatik nga kasayuran ug sa dili pa magbutang mga order alang sa mga produkto o serbisyo. *Ang ubang mga ngalan ug mga tatak mahimong maangkon nga gipanag-iya sa uban.

ISO 9001:2015 Rehistrado

5. Advanced Features 683823 | 2023.05.23
1. I-klik ang Intel Quartus Prime software Assignments menu ug pilia ang Device Device ug Pin Options Configuration tab.
2. Sa tab nga Configuration, i-enable ang HPS debug access port (DAP) pinaagi sa pagpili sa HPS Pins o SDM Pins gikan sa dropdown menu, ug pagsiguro nga ang Allow HPS debug without certificates checkbox wala mapili.
Figure 14. Ipiho ang HPS o SDM Pins para sa HPS DAP

HPS debug access port (DAP)
Sa laing paagi, mahimo nimong itakda ang assignment sa ubos sa Quartus Prime Settings .qsf file:
set_global_assignment -ngalan HPS_DAP_SPLIT_MODE “SDM PINS”
3. I-compile ug i-load ang disenyo niini nga mga setting. 4. Paghimo og signature chain nga adunay tukma nga permiso sa pagpirma sa HPS debug
certificate:
quartus_sign –family=agilex –operation=append_key –previous_pem=root_private.pem –previous_qky=root.qky –permission=0x8 –cancel=1 –input_pem=hps_debug_cert_public_key.pem hpky_debug_cert_sign_chain.
5. Paghangyo og wala pirmahi nga HPS debug certificate gikan sa device diin ang debug design gikarga:
quartus_pgm -c 1 -mjtag -o “e;unsigned_hps_debug.cert;AGFB014R24A”
6. Pirmahan ang wala pirmahi nga HPS debug certificate gamit ang quartus_sign tool o reference nga pagpatuman ug ang HPS debug signature chain:
quartus_sign –family=agilex –operation=sign –qky=hps_debug_cert_sign_chain.qky –pem=hps_debug_cert_private_key.pem unsigned_hps_debug.cert signed_hps_debug.cert

Intel Agilex® 7 Device Security User Guide 48

Ipadala ang Feedback

5. Advanced Features 683823 | 2023.05.23
7. Ipadala balik ang gipirmahan nga HPS debug certificate ngadto sa device aron makahimo og access sa HPS debug access port (DAP):
quartus_pgm -c 1 -mjtag -o “p;signed_hps_debug.cert”
Ang sertipiko sa pag-debug sa HPS balido lamang gikan sa panahon nga kini namugna hangtud sa sunod nga siklo sa kuryente sa device o hangtud nga ang laing matang o bersyon sa SDM firmware makarga. Kinahanglan nimo nga maghimo, mopirma, ug magprograma sa gipirmahan nga sertipiko sa pag-debug sa HPS, ug ipahigayon ang tanan nga mga operasyon sa pag-debug, sa dili pa i-power cycling ang aparato. Mahimo nimong dili balido ang gipirmahan nga sertipiko sa pag-debug sa HPS pinaagi sa pagbisikleta sa gahum sa aparato.
5.3. Pagpamatuod sa Platform
Makahimo ka og usa ka pakisayran nga pagpakita sa integridad (.rim) file gamit ang programming file himan sa generator:
quartus_pfg -c signed_encrypted_top.rbf top_rim.rim
Sunda kini nga mga lakang aron masiguro ang pamatuod sa plataporma sa imong disenyo: 1. Gamita ang Intel Quartus Prime Pro Programmer aron i-configure ang imong device gamit ang
disenyo nga imong gimugna ug reperensiya sa integridad nga gipakita. 2. Paggamit ug plataporma nga pamatuod nga verifier aron ma-enrol ang aparato pinaagi sa pag-isyu sa mga mando sa
SDM pinaagi sa SDM mailbox sa paghimo sa device ID certificate ug firmware certificate sa reload. 3. Gamita ang Intel Quartus Prime Pro Programmer aron i-reconfigure ang imong device sa disenyo. 4. Gamita ang platform attestation verifier para mag-isyu ug mga command sa SDM para makuha ang attestation device ID, firmware, ug alias certificates. 5. Gamita ang attestation verifier sa pag-isyu sa SDM mailbox command aron makuha ang attestation nga ebidensya ug ang verifier magsusi sa gibalik nga ebidensya.
Mahimo nimong ipatuman ang imong kaugalingong serbisyo sa verifier gamit ang SDM mailbox commands, o gamiton ang Intel platform attestation verifier service. Para sa dugang nga impormasyon bahin sa Intel platform attestation verifier service software, availability, ug dokumentasyon, kontaka ang Intel Support.
Nalambigit nga Impormasyon Intel Agilex 7 Device Family Pin Connection Guidelines
5.4. Pisikal nga Anti-Tamper
Mahimo nimo ang pisikal nga anti-tamper features gamit ang mosunod nga mga lakang: 1. Pagpili sa gitinguha nga tubag sa usa ka namatikdan nga tamper nga panghitabo 2. Pag-configure sa gitinguha nga tamper detection method and parameters 3. Lakip ang anti-tamper IP sa imong lohika sa disenyo aron makatabang sa pagdumala sa anti-tamper
mga panghitabo

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 49

5. Advanced Features 683823 | 2023.05.23
5.4.1. Anti-TampMga tubag
Mahimo nimo ang pisikal nga anti-tamper pinaagi sa pagpili sa tubag gikan sa Anti-tamptubag: dropdown list sa Assignments Device Device ug Pin Options Security Anti-Tampug tab. Sa kasagaran, ang anti-tamper ang tubag gi-disable. Lima ka mga kategoriya sa anti-tampang tubag anaa. Kung imong pilion ang imong gusto nga tubag, ang mga kapilian aron mahimo ang usa o daghang mga pamaagi sa pag-ila gipagana.
Figure 15. Anaa nga Anti-Tamper Mga Opsyon sa Tubag

Ang katugbang nga buluhaton sa Quartus Prime settings .gsf file mao ang mosunod:
set_global_assignment -ngalan ANTI_TAMPER_RESPONSE "NOTIFICATION DEVICE WIPE DEVICE LOCK AND ZEROIZATION"
Kung mahimo nimo ang usa ka anti-tamper tubag, mahimo nimong pilion ang duha ka magamit nga SDM nga gipahinungod nga I/O pin aron ma-output ang tamper detection sa panghitabo ug status sa pagtubag gamit ang Assignments Device Device ug Pin Options Configuration Configuration Pin Options window.

Intel Agilex® 7 Device Security User Guide 50

Ipadala ang Feedback

5. Advanced Features 683823 | 2023.05.23
Figure 16. Anaa nga SDM nga gipahinungod nga I/O Pins para sa Tamper Pagsusi sa Hitabo

Mahimo usab nimong himoon ang mosunod nga mga assignment sa pin sa mga setting file: set_global_assignment -ngalan USE_TAMPER_DETECT SDM_IO15 set_global_assignment -ngalan ANTI_TAMPER_RESPONSE_FAILED SDM_IO16

5.4.2. Anti-Tamper Detection

Mahimo nimo nga i-enable ang frequency, temperatura, ug voltage detection features sa SDM. Ang pagkakita sa FPGA nagdepende sa paglakip sa Anti-Tamper Lite Intel FPGA IP sa imong disenyo.

Mubo nga sulat:

SDM frequency ug voltagetampAng mga pamaagi sa pag-detect nagdepende sa internal nga mga pakisayran ug hardware sa pagsukod nga mahimong magkalainlain sa mga aparato. Girekomenda sa Intel nga imong mailhan ang pamatasan sa tampmga setting sa pag-detect.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 51

5. Advanced Features 683823 | 2023.05.23
Kadaghanon tampAng er detection naglihok sa gigikanan sa orasan sa pag-configure. Aron mahimo ang frequency tamper detection, kinahanglan nimong ipiho ang usa ka opsyon gawas sa Internal Oscillator sa Configuration clock source dropdown sa Assignments Device Device ug Pin Options General tab. Kinahanglan nimong sigurohon nga ang Run configuration CPU gikan sa internal oscillator checkbox gi-enable sa dili pa i-enable ang frequency tamper detection. Figure 17. Pagbutang sa SDM sa Internal Oscillator
Aron mahimo ang frequency tamper detection, pilia ang Enable frequency tamper detection checkbox ug pilia ang gusto nga Frequency tamper detection range gikan sa dropdown menu. Hulagway 18. Pag-enable sa Frequency Tamper Detection

Intel Agilex® 7 Device Security User Guide 52

Ipadala ang Feedback

5. Advanced Features 683823 | 2023.05.23
Sa laing paagi, mahimo nimong palihokon ang Frequency Tamper Detection pinaagi sa paghimo sa mosunod nga mga kausaban sa Quartus Prime Settings .qsf file:
set_global_assignment -ngalan AUTO_RESTART_CONFIGURATION OFF set_global_assignment -ngalan DEVICE_INITIALIZATION_CLOCK OSC_CLK_1_100MHZ set_global_assignment -ngalan RUN_CONFIG_CPU_FROM_INT_OSC ON set_global_assignment -ngalan QUENC_FAMPER_DETECTION SA set_global_assignment -ngalan FREQUENCY_TAMPER_DETECTION_RANGE 35
Aron mahimo ang temperatura tamper detection, pilia ang Enable temperature tamper detection checkbox ug pilia ang gusto nga temperatura sa taas ug ubos nga mga utlanan sa katugbang nga mga natad. Ang taas ug ubos nga mga utlanan gipuno pinaagi sa default nga adunay kalabutan nga range sa temperatura alang sa aparato nga gipili sa disenyo.
Aron mahimo ang voltagetamper detection, imong pilion ang bisan hain o ang duha sa Enable VCCL voltagetamper detection o Enable VCCL_SDM voltagetamper detection checkbox ug pilia ang gusto nga Voltagetamper detection trigger porsyentotage sa katugbang nga natad.
Hulagway 19. Makapaarang Voltage Tamper Detection

Sa laing bahin, mahimo nimong palihokon ang Voltage Tamper Detection pinaagi sa pagpiho sa mosunod nga mga buluhaton sa .qsf file:
set_global_assignment -ngalan ENABLE_TEMPERATURE_TAMPER_DETECTION SA set_global_assignment -ngalan TEMPERATURE_TAMPER_UPPER_BOUND 100 set_global_assignment -ngalan ENABLE_VCCL_VOLTAGE_TAMPER_DETECTION SA set_global_assignment -ngalan ENABLE_VCCL_SDM_VOLTAGE_TAMPER_DETECTION NAKA-ON
5.4.3. Anti-Tamper Lite Intel FPGA IP
Ang Anti-Tamper Lite Intel FPGA IP, anaa sa IP catalog sa Intel Quartus Prime Pro Edition software, nagpahigayon sa bidirectional nga komunikasyon tali sa imong disenyo ug sa SDM alang sa tampmga panghitabo.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 53

Hulagway 20. Anti-Tamper Lite Intel FPGA IP

5. Advanced Features 683823 | 2023.05.23

Ang IP naghatag sa mosunod nga mga signal nga imong gikonektar sa imong disenyo kon gikinahanglan:

Talaan 5.

Anti-Tamper Lite Intel FPGA IP I/O Signals

Ngalan sa Signal

Direksyon

Deskripsyon

gpo_sdm_at_event gpi_fpga_at_event

Pagsulud sa output

SDM signal sa FPGA fabric logic nga nakita sa usa ka SDMamper nga panghitabo. Ang FPGA logic adunay gibana-bana nga 5ms aron mahimo ang bisan unsang gusto nga paglimpyo ug pagtubag sa SDM pinaagi sa gpi_fpga_at_response_done ug gpi_fpga_at_zeroization_done. Ang SDM nagpadayon sa tamper mga aksyon sa pagtubag kung ang gpi_fpga_at_response_done ipahayag o pagkahuman wala’y tubag nga nadawat sa gitakda nga oras.
FPGA interrupt sa SDM nga imong gidisenyo anti-tamper detection circuitry nakamatikod saamper nga panghitabo ug ang SDM tampang tubag kinahanglan nga ma-trigger.

gpi_fpga_at_response_done

Input

Ang FPGA nakabalda sa SDM nga ang FPGA nga lohika nakahimo sa gitinguha nga pagpanglimpyo.

gpi_fpga_at_zeroization_d usa

Input

Ang signal sa FPGA ngadto sa SDM nga ang FPGA logic nakakompleto sa bisan unsang gitinguha nga zeroization sa data sa disenyo. Kini nga signal mao ang sampnanguna kung ang gpi_fpga_at_response_done gipahayag.

5.4.3.1. Pagpagawas sa Impormasyon

Ang IP versioning scheme (XYZ) nga numero mausab gikan sa usa ka software nga bersyon ngadto sa lain. Usa ka pagbag-o sa:
· Ang X nagpakita og dakong rebisyon sa IP. Kung imong gi-update ang imong Intel Quartus Prime software, kinahanglan nimo nga i-regenerate ang IP.
· Gipakita sa Y nga ang IP naglakip sa bag-ong mga bahin. I-regenerate ang imong IP aron maapil kining mga bag-ong feature.
· Gipakita sa Z nga ang IP naglakip sa gagmay nga mga pagbag-o. I-regenerate ang imong IP aron maapil kini nga mga pagbag-o.

Talaan 6.

Anti-Tamper Lite Intel FPGA IP Release Information

Bersyon sa IP

butang

Deskripsyon 20.1.0

Intel Quartus Prime nga Bersyon

21.2

Petsa sa Pagpagawas

2021.06.21

Intel Agilex® 7 Device Security User Guide 54

Ipadala ang Feedback

5. Advanced Features 683823 | 2023.05.23
5.5. Paggamit sa Design Security Features uban sa Remote System Update
Ang Remote System Update (RSU) usa ka feature sa Intel Agilex 7 FPGAs nga nagtabang sa pag-update sa configuration. files sa usa ka lig-on nga paagi. Ang RSU kay compatible sa design security features sama sa authentication, firmware co-signing, ug bitstream encryption kay ang RSU wala magdepende sa design contents sa configuration bitstreams.
Pagtukod og RSU Images gamit ang .sof Files
Kung nagtipig ka sa mga pribadong yawe sa imong lokal filenga sistema, mahimo ka nga makamugna og mga hulagway sa RSU nga adunay mga bahin sa seguridad sa disenyo gamit ang gipasimple nga dagan sa .sof files ingon mga input. Aron makamugna og mga hulagway sa RSU gamit ang .sof file, mahimo nimong sundon ang mga instruksyon sa Seksyon Pagmugna og Remote System Update Image Files Paggamit sa Programming File Generator sa Intel Agilex 7 Configuration User Guide. Alang sa matag .sof file gipiho sa Input Files tab, i-klik ang Properties… buton ug ipiho ang angay nga mga setting ug mga yawe alang sa mga himan sa pagpirma ug pag-encrypt. Ang programming file generator nga himan awtomatik nga nagpirma ug nag-encrypt sa mga larawan sa pabrika ug aplikasyon samtang nagmugna sa RSU programming files.
Sa laing paagi, kung nagtipig ka sa mga pribadong yawe sa usa ka HSM, kinahanglan nimong gamiton ang tool sa quartus_sign ug busa gamita ang .rbf files. Ang nahabilin niini nga seksyon nagdetalye sa mga pagbag-o sa dagan aron makamugna ang mga imahe sa RSU nga adunay .rbf files ingon mga input. Kinahanglan nimo nga i-encrypt ug pirmahan ang .rbf format files sa wala pa ang pagpili kanila ingon nga input files alang sa mga imahe sa RSU; bisan pa, ang RSU boot info file kinahanglan nga dili ma-encrypt ug hinoon pirmahan lamang. Ang Programa File Ang Generator dili mosuporta sa pag-usab sa mga kabtangan sa .rbf format files.
Ang mosunod nga exampGipakita sa mga les ang gikinahanglan nga mga pagbag-o sa mga sugo sa Seksyon nga Pagmugna og Remote System Update Image Files Paggamit sa Programming File Generator sa Intel Agilex 7 Configuration User Guide.
Paghimo sa Inisyal nga RSU Image Gamit ang .rbf Files: Pagbag-o sa Sugo
Gikan sa Paghimo sa Inisyal nga RSU Image Gamit ang .rbf Files seksyon, usba ang mga sugo sa Lakang 1. aron mahimo ang mga bahin sa seguridad sa disenyo sumala sa gusto gamit ang mga panudlo gikan sa naunang mga seksyon niini nga dokumento.
Kay example, imong ipiho ang usa ka gipirmahan nga firmware file kon ikaw naggamit ug firmware cosigning, unya gamita ang Quartus encryption tool aron ma-encrypt ang matag .rbf file, ug sa kataposan gamita ang quartus_sign tool aron mapirmahan ang matag usa file.
Sa lakang 2, kung imong gi-enable ang firmware co-signing, kinahanglan nimong gamiton ang dugang nga kapilian sa paghimo sa boot .rbf gikan sa imahe sa pabrika file:
quartus_pfg -c factory.sof boot.rbf -o rsu_boot=ON -o fw_source=signed_agilex.zip
Human nimo mabuhat ang boot info .rbf file, gamita ang quartus_sign tool para mapirmahan ang .rbf file. Kinahanglang dili nimo i-encrypt ang impormasyon sa boot .rbf file.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 55

5. Advanced Features 683823 | 2023.05.23
Paghimo og Imahe sa Aplikasyon: Pagbag-o sa Command
Aron makamugna og application image nga adunay design security features, imong usbon ang command sa Generating an Application Image para mogamit og .rbf nga adunay design security features nga gipagana, lakip ang co-signed firmware kon gikinahanglan, imbes sa orihinal nga application .sof file:
quartus_pfg -c cosigned_fw_signed_encrypted_application.rbf secured_rsu_application.rpd -o mode=ASX4 -o bitswap=ON
Paghimo og usa ka Factory Update Image: Command Modification
Human nimo mabuhat ang boot info .rbf file, imong gamiton ang quartus_sign tool aron mapirmahan ang .rbf file. Kinahanglang dili nimo i-encrypt ang impormasyon sa boot .rbf file.
Aron makamugna og RSU factory update image, imong usbon ang command gikan sa Generating a Factory Update Image aron magamit ang .rbf file nga adunay mga bahin sa seguridad sa disenyo nga gipagana ug idugang ang kapilian aron ipakita ang gipirmahan nga paggamit sa firmware:
quartus_pfg -c cosigned_fw_signed_encrypted_factory.rbf secured_rsu_factory_update.rpd -o mode=ASX4 -o bitswap=ON -o rsu_upgrade=ON -o fw_source=signed_agilex.zip
Nalambigit nga Impormasyon Intel Agilex 7 Configuration User Guide
5.6. SDM Cryptographic Services
Ang SDM sa Intel Agilex 7 nga mga himan naghatag og cryptographic nga mga serbisyo nga ang FPGA fabric logic o ang HPS mahimong mohangyo pinaagi sa tagsa-tagsa nga SDM mailbox interface. Para sa dugang nga impormasyon mahitungod sa mailbox commands ug data formats para sa tanang SDM cryptographic services, tan-awa ang Appendix B sa Security Methodology para sa Intel FPGAs ug Structured ASICs User Guide.
Aron ma-access ang interface sa SDM mailbox sa FPGA fabric logic para sa SDM cryptographic nga mga serbisyo, kinahanglan nimo nga i-instantiate ang Mailbox Client Intel FPGA IP sa imong disenyo.
Ang reference code aron maka-access sa SDM mailbox interface gikan sa HPS gilakip sa ATF ug Linux code nga gihatag sa Intel.
May Kalabutan nga Impormasyon Mailbox Client Intel FPGA IP User Guide
5.6.1. Awtorisadong Boot nga Vendor
Naghatag ang Intel og reference nga pagpatuman alang sa HPS software nga naggamit sa vendor nga awtorisado nga boot feature aron mapamatud-an ang HPS boot software gikan sa unang s.tage boot loader hangtod sa Linux kernel.
May Kalabutan nga Impormasyon Intel Agilex 7 SoC Secure Boot Demo Design

Intel Agilex® 7 Device Security User Guide 56

Ipadala ang Feedback

5. Advanced Features 683823 | 2023.05.23
5.6.2. Secure Data Object Service
Imong ipadala ang mga sugo pinaagi sa SDM mailbox aron mahimo ang SDOS object encryption ug decryption. Mahimo nimong gamiton ang feature sa SDOS human sa paghatag sa SDOS root key.
Nalambigit nga Impormasyon Secure Data Object Service Root Key Provisioning sa pahina 30
5.6.3. SDM Cryptographic Primitive Services
Imong ipadala ang mga sugo pinaagi sa SDM mailbox aron masugdan ang SDM cryptographic primitive service operations. Ang ubang cryptographic primitive nga mga serbisyo nagkinahanglan nga mas daghang data ang mabalhin ngadto ug gikan sa SDM kay sa madawat sa mailbox interface. Sa kini nga mga kaso, ang mando sa format nagbag-o aron mahatagan ang mga pointer sa data sa memorya. Dugang pa, kinahanglan nimong usbon ang instantiation sa Mailbox Client Intel FPGA IP aron magamit ang SDM cryptographic primitive nga serbisyo gikan sa FPGA fabric logic. Kinahanglan nimo nga dugang nga itakda ang Enable Crypto Service parameter sa 1 ug ikonektar ang bag-ong gibutyag nga AXI initiator interface sa usa ka memorya sa imong disenyo.
Figure 21. Pag-enable sa SDM Cryptographic Services sa Mailbox Client Intel FPGA IP

5.7. Mga Setting sa Seguridad sa Bitstream (FM/S10)
Ang mga opsyon sa FPGA Bitstream Security usa ka koleksyon sa mga polisiya nga nagpugong sa espesipikong bahin o paagi sa operasyon sulod sa gitakdang panahon.
Ang mga kapilian sa Bitstream Security naglangkob sa mga bandera nga imong gibutang sa software sa Intel Quartus Prime Pro Edition. Kini nga mga bandila awtomatik nga gikopya ngadto sa mga bitstream sa configuration.
Mahimo nimong ipatuman nga permanente ang mga kapilian sa seguridad sa usa ka aparato pinaagi sa paggamit sa katugbang nga setting sa seguridad nga eFuse.
Aron magamit ang bisan unsang mga setting sa seguridad sa configuration bitstream o device eFuses, kinahanglan nimo nga i-enable ang authentication feature.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 57

5. Advanced Features 683823 | 2023.05.23
5.7.1. Pagpili ug Pag-enable sa Mga Opsyon sa Seguridad
Aron makapili ug makapahimo sa mga opsyon sa seguridad, buhata ang mosunod: Gikan sa menu sa Mga Assignment, pilia ang Device Device ug Pin Options Security More Options… Figure 22. Pagpili ug Pag-enable sa Security Options

Ug dayon pilia ang mga kantidad gikan sa mga lista sa drop-down alang sa mga kapilian sa seguridad nga gusto nimo nga mahimo sama sa gipakita sa mosunod nga example:
Figure 23. Pagpili sa mga Bili alang sa mga Opsyon sa Seguridad

Intel Agilex® 7 Device Security User Guide 58

Ipadala ang Feedback

5. Advanced Features 683823 | 2023.05.23
Ang mosunod mao ang katugbang nga mga kausaban sa Quartus Prime Settings .qsf file:
set_global_assignment -ngalan SECU_OPTION_DISABLE_JTAG “ON CHECK” set_global_assignment -ngalan SECU_OPTION_FORCE_ENCRYPTION_KEY_UPDATE “ON STICKY” set_global_assignment -ngalan SECU_OPTION_FORCE_SDM_CLOCK_TO_INT_OSC ON set_global_assignment -ngalan SECU_OPTION_DUAL_assignment -ngalan SECU_OPTION_LOCK_SECURITY_EFUSES SA set_global_assignment -ngalan SECU_OPTION_DISABLE_HPS_DEBUG SA set_global_assignment -ngalan SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES SA set_global_assignment -ngalan SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES SA set_global_assignment -ngalan SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_EFUSES SA set_global_assignment -ngalan SECU_OPTION_DISABLE_ENCRYPTION_KEY_ON_assignment_nameg SECU_OPTION_DISABLE_ENCRYPTION_KEY_IN_BBRAM SA set_global_assignment -ngalan SECU_OPTION_DISABLE_PUF_WRAPPED_ENCRYPTION_KEY ON

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 59

683823 | 2023.05.23 Magpadala ug Feedback

Pag-troubleshoot

Kini nga kapitulo naghulagway sa kasagarang mga sayop ug mga mensahe sa pasidaan nga mahimo nimong masugatan samtang naningkamot sa paggamit sa mga bahin sa seguridad sa device ug mga lakang aron masulbad kini.
6.1. Paggamit sa Quartus Commands sa usa ka Windows Environment Error
Error quartus_pgm: command not found Deskripsyon Kini nga sayop nagpakita sa dihang mosulay sa paggamit sa Quartus commands sa NIOS II Shell sa Windows environment pinaagi sa paggamit sa WSL. Resolusyon Kini nga sugo nagtrabaho sa Linux environment; Alang sa mga host sa Windows, gamita ang mosunod nga sugo: quartus_pgm.exe -h Sa susama, i-apply ang parehas nga syntax sa ubang mga command sa Quartus Prime sama sa quartus_pfg, quartus_sign, quartus_encrypt taliwala sa ubang mga command.

Intel Corporation. Tanang katungod gigahin. Ang Intel, ang logo sa Intel, ug uban pang mga marka sa Intel mao ang mga marka sa pamatigayon sa Intel Corporation o mga subsidiary niini. Gigarantiya sa Intel ang paghimo sa iyang mga produkto nga FPGA ug semiconductor sa kasamtangang mga espesipikasyon subay sa standard warranty sa Intel, apan adunay katungod sa paghimog mga pagbag-o sa bisan unsang produkto ug serbisyo bisan unsang orasa nga wala’y pahibalo. Ang Intel walay responsibilidad o tulubagon nga naggikan sa aplikasyon o paggamit sa bisan unsang impormasyon, produkto, o serbisyo nga gihulagway dinhi gawas sa dayag nga giuyonan sa pagsulat sa Intel. Gitambagan ang mga kostumer sa Intel nga makuha ang pinakabag-o nga bersyon sa mga detalye sa aparato sa dili pa magsalig sa bisan unsang gipatik nga kasayuran ug sa dili pa magbutang mga order alang sa mga produkto o serbisyo. *Ang ubang mga ngalan ug mga tatak mahimong maangkon nga gipanag-iya sa uban.

ISO 9001:2015 Rehistrado

6. Pagsulbad sa problema 683823 | 2023.05.23

6.2. Paghimo og Pribado nga Key Warning

Pasidaan:

Ang gipiho nga password giisip nga dili sigurado. Girekomenda sa Intel nga labing menos 13 ka karakter sa password ang gamiton. Girekomenda ka nga usbon ang password pinaagi sa paggamit sa OpenSSL executable.

openssl ec -in -gawas -aes256

Deskripsyon
Kini nga pasidaan nalangkit sa kalig-on sa password ug gipakita sa pagsulay sa pagmugna og pribadong yawe pinaagi sa pag-isyu sa mosunod nga mga sugo:

quartus_sign –family=agilex –operation=make_private_pem –curve=secp3841 root.pem

Resolution Gamita ang openssl executable aron matino ang mas taas ug mas lig-on nga password.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 61

6. Pagsulbad sa problema 683823 | 2023.05.23
6.3. Pagdugang og Signing Key sa Quartus Project Error
Sayop…File naglangkob sa root key nga impormasyon…
Deskripsyon
Human makadugang ug signing key .qky file sa proyekto sa Quartus, kinahanglan nimo nga i-assemble pag-usab ang .sof file. Kung imong idugang kini nga nabag-o nga .sof file sa pinili nga device pinaagi sa paggamit sa Quartus Programmer, ang mosunod nga mensahe sa sayop nagpakita nga ang file naglangkob sa root key nga impormasyon:
Napakyas sa pagdugangfile-path-name> ngadto sa Programmer. Ang file naglangkob sa root key nga impormasyon (.qky). Bisan pa, wala gisuportahan sa Programmer ang bahin sa pagpirma sa bitstream. Mahimo nimong gamiton ang Programming File Generator aron mabag-o ang file sa gipirmahan nga Raw Binary file (.rbf) para sa configuration.
Resolusyon
Gamita ang Quartus Programming file generator aron ma-convert ang file ngadto sa usa ka pinirmahan nga Raw Binary File .rbf para sa configuration.
Nalambigit nga Impormasyon Pagpirma sa Configuration Bitstream Gamit ang quartus_sign Command sa panid 13

Intel Agilex® 7 Device Security User Guide 62

Ipadala ang Feedback

6. Pagsulbad sa problema 683823 | 2023.05.23
6.4. Pagmugna og Quartus Prime Programming File wala molampos
Sayop
Sayop (20353): X sa publikong yawe gikan sa QKY dili motakdo sa pribadong yawe gikan sa PEM file.
Error (20352): Napakyas sa pagpirma sa bitstream pinaagi sa python script agilex_sign.py.
Sayop: Quartus Prime Programming File Ang generator wala molampos.
Deskripsyon Kung mosulay ka sa pagpirma sa usa ka bitstream sa configuration gamit ang sayop nga pribadong yawe .pem file o usa ka .pem file nga dili motakdo sa .qky nga gidugang sa proyekto, ang kasagarang mga sayop nga gipakita sa ibabaw. Resolusyon Siguroha nga imong gigamit ang husto nga pribado nga yawe .pem sa pagpirma sa bitstream.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 63

6. Pagsulbad sa problema 683823 | 2023.05.23
6.5. Wala Nahibal-an nga Mga Kasaypanan sa Argumento
Sayop
Sayop (23028): Wala mailhi nga argumento "ûc". Tan-awa ang –help para sa legal nga mga argumento.
Sayop (213008): Ang pagpili sa pagpili sa pagprograma nga "ûp" ilegal. Tan-awa ang –help para sa legal nga mga format sa opsyon sa programming.
Deskripsyon Kung imong kopyahon ug idikit ang mga opsyon sa command-line gikan sa .pdf file sa Windows NIOS II Shell, mahimo nimong masugatan ang wala mailhi nga mga sayup sa argumento sama sa gipakita sa ibabaw. Resolusyon Sa ingon nga mga kaso, mahimo nimo nga mano-mano ang pagsulod sa mga mando imbis nga idikit gikan sa clipboard.

Intel Agilex® 7 Device Security User Guide 64

Ipadala ang Feedback

6. Pagsulbad sa problema 683823 | 2023.05.23
6.6. Bitstream Encryption Option Disabled Error
Sayop
Dili mahuman ang encryption para sa file disenyo .sof tungod kay kini gihugpong uban sa bitstream encryption kapilian disabled.
Deskripsyon Kung sulayan nimo ang pag-encrypt sa bitstream pinaagi sa GUI o command-line pagkahuman nimo ma-compile ang proyekto nga ang opsyon sa pag-encrypt sa bitstream na-disable, gisalikway ni Quartus ang mando sama sa gipakita sa ibabaw.
Resolusyon Siguruha nga imong kolektahon ang proyekto gamit ang kapilian sa pag-encrypt sa bitstream nga mahimo pinaagi sa GUI o linya sa mando. Aron mahimo kini nga kapilian sa GUI, kinahanglan nimo nga susihon ang checkbox alang niini nga kapilian.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 65

6. Pagsulbad sa problema 683823 | 2023.05.23
6.7. Pagtino sa Husto nga Dalan sa Yawe
Sayop
Sayop (19516): Namatikdan nga Programming File Kasaypanan sa mga setting sa generator: Dili makit-an ang 'key_file'. Siguroha nga ang file nahimutang sa gipaabot nga lokasyon o i-update ang setting.sec
Sayop (19516): Namatikdan nga Programming File Kasaypanan sa mga setting sa generator: Dili makit-an ang 'key_file'. Siguroha nga ang file nahimutang sa gipaabot nga lokasyon o i-update ang setting.
Deskripsyon
Kung ikaw naggamit sa mga yawe nga gitipigan sa file sistema, kinahanglan nimo nga sigurohon nga ilang gipiho ang husto nga agianan alang sa mga yawe nga gigamit alang sa pag-encrypt ug pagpirma sa bitstream. Kung ang Programming File Ang generator dili makamatikod sa husto nga dalan, ang mga mensahe sa sayop sa ibabaw nagpakita.
Resolusyon
Tan-awa ang Quartus Prime Settings .qsf file sa pagpangita sa husto nga mga dalan alang sa mga yawe. Siguruha nga mogamit ka mga paryente nga agianan imbes nga hingpit nga mga agianan.

Intel Agilex® 7 Device Security User Guide 66

Ipadala ang Feedback

6. Pagsulbad sa problema 683823 | 2023.05.23
6.8. Paggamit sa Wala Gisuportahan nga Output File Type
Sayop
quartus_pfg -c design.sof output_file.ebf -o finalize_operation=ON -o qek_file=ae.qek -o pagpirma=ON -o pem_file=sign_private.pem
Sayop (19511): Dili suportado nga output file tipo (ebf). Gamita ang “-l” o “–list” nga opsyon aron ipakita ang gisuportahan file type nga impormasyon.
Deskripsyon Samtang naggamit sa Quartus Programming File Generator aron makamugna ang encrypted ug gipirmahan nga configuration bitstream, mahimo nimong makita ang sayup sa ibabaw kung usa ka dili suportado nga output file gipiho ang tipo. Resolution Gamita ang -l o ang –list nga opsyon para makita ang listahan sa gisuportahan file mga tipo.

Ipadala ang Feedback

Intel Agilex® 7 Device Security User Guide 67

683823 | 2023.05.23 Magpadala ug Feedback
7. Intel Agilex 7 Device Security User Guide Archives
Para sa pinakabag-o ug naunang mga bersyon niini nga giya sa paggamit, tan-awa ang Intel Agilex 7 Device Security User Guide. Kung ang usa ka IP o software nga bersyon wala gilista, ang giya sa gumagamit alang sa miaging IP o software nga bersyon magamit.

Intel Corporation. Tanang katungod gigahin. Ang Intel, ang logo sa Intel, ug uban pang mga marka sa Intel mao ang mga marka sa pamatigayon sa Intel Corporation o mga subsidiary niini. Gigarantiya sa Intel ang paghimo sa iyang mga produkto nga FPGA ug semiconductor sa kasamtangang mga espesipikasyon subay sa standard warranty sa Intel, apan adunay katungod sa paghimog mga pagbag-o sa bisan unsang produkto ug serbisyo bisan unsang orasa nga wala’y pahibalo. Ang Intel walay responsibilidad o tulubagon nga naggikan sa aplikasyon o paggamit sa bisan unsang impormasyon, produkto, o serbisyo nga gihulagway dinhi gawas sa dayag nga giuyonan sa pagsulat sa Intel. Gitambagan ang mga kostumer sa Intel nga makuha ang pinakabag-o nga bersyon sa mga detalye sa aparato sa dili pa magsalig sa bisan unsang gipatik nga kasayuran ug sa dili pa magbutang mga order alang sa mga produkto o serbisyo. *Ang ubang mga ngalan ug mga tatak mahimong maangkon nga gipanag-iya sa uban.

ISO 9001:2015 Rehistrado

683823 | 2023.05.23 Magpadala ug Feedback

8. Kasaysayan sa Rebisyon alang sa Intel Agilex 7 Device Security User Guide

Bersyon sa Dokumento 2023.05.23
2022.11.22 2022.04.04 2022.01.20
2021.11.09

Mga Dokumento / Mga Kapanguhaan

Intel Agilex 7 Device Security [pdf] Manwal sa Gumagamit Agilex 7 Device Security, Agilex 7, Device Security, Security

Mga pakisayran

• Manwal sa Gumagamit